開発者トーナメント:セキュリティ文化とエンゲージメントを向上させるためのAppSecの秘密兵器
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
Director General, Presidente y Cofundador
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
Índice
Director General, Presidente y Cofundador
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
