優秀なDevSecOpsエンジニアになる方法
テクノロジーそのものと同様に、コード開発のためのツール、テクニック、最適なプロセスは急速に進化しています。私たち人間は、より多くのソフトウェア、より多くの機能、より多くの機能に対する飽くなきニーズを抱えています。そして、これまで以上に速く、より質的に、そして何よりも安全であることを望んでいます。ほんの数年前までは、大きな作業を小さな断片に分割し、顧客からの迅速なフィードバックサイクルに迅速に適応できるようにするために、次に使われていたのがアジャイル開発でした。それ以前は、ウォーターフォール方式が主流でした。
多くの人々や組織がウォーターフォールからアジャイルに移行しつつあり、誰もがまだ移行しているわけではありませんが、彼らはすでに新しい問題に直面しています。開発チームと運用担当者は依然としてサイロ化された状態で働いています。このような環境で、アジャイル方式で取り組む小規模チームが、より迅速なデプロイとより迅速なデリバリーという約束を実現するにはどうすればよいでしょうか。
DevOpsは、開発と運用を組み合わせた名前で、新しいソフトウェアを作成する際に開発者と運用チームの両方の機能を統合するために作成されました。これは本質的に、開発者が物事を運用チームに任せて責任を取るのではなく、開発者が物事を本番環境に持ち込むためのオーナーシップを得られるようにするためでした。
一日に2、3回でも出荷速度が速くなることは確かです。これはアジャイルの路地ではうまくいくようです。しかし、DevOps では依然として、エンジニアと運用担当者が混在する 1 つの大きなチームができあがり、実際にはアジャイルとの連携が取れていない可能性があります。最終的には、DevOps はアジャイルの進化と考えるのが一番です。方法論は多くの点で似ていて、相違点も補完し合っているからです。DevOps は自動化された継続的インテグレーションとデプロイメントのパイプラインを推進しています。これは頻繁なリリースを実現するために不可欠ですが、チームレベルではそれだけでは十分ではありません。そこで、アジャイルの出番です。アジャイルにより、チーム、特に小規模チームは、これらの迅速なリリースや変化する要件に対応しながら、タスクに取り組み、コラボレーションを続けることができます。確かに理想的に思えますし、そのプロセスによってチームは最終目標に向かって順調に進むことができますが、それ自体に問題がないわけではありません。
DevOps のベストプラクティスを使用して作成されたソフトウェアは、最初のボス戦、つまりセキュリティチームでまだつまずく可能性があります。従来型/ウォーターフォール型のアプリケーション・セキュリティ・スペシャリストが、ツールや複雑な手動レビューを行ってコードを調べると、容認できないリスクや脆弱性が発見されることが多く、それらは事後に修正する必要があります。完成したアプリケーションにセキュリティ修正を組み込むプロセスは迅速でも簡単でもありません。しかも、組織にとってははるかに費用がかかります。
では、世界がウォーターフォール、アジャイル、そして今はDevOpsに移行しているとしたら、解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
開発技術は常に進化していますが、ありがたいことに、これはそれほど大きな変化ではありません。組織は「DevOps」に「Sec」を入れるだけでよいのです... こうして DevSecOps が生まれました。DevSecOps の主な目標は、開発、運用、そして最後になりましたが、セキュリティチーム間の障壁を打ち破り、オープンなコラボレーションを行うことです。DevSecOpsは、ソフトウェアエンジニアリングの戦術であると同時に、ソフトウェア開発ライフサイクル全体を通じてセキュリティの自動化と監視を提唱する文化でもあります。
これは組織レベルの別のプロセスのように思えるかもしれません。開発する機能がたくさんある開発者にとっては「料理人が多すぎる」プロセスかもしれません。しかし、DevSecOps の方法論は、セキュリティ意識の高い開発者が本当に輝ける機会をもたらします。
DevSecOpsの明るい未来
では、なぜコーダーがDevSecOpsエンジニアになりたいと思うのでしょうか。DevOps (またはアジャイル) の経験はあるものの、DevSecOps に習熟するために次のステップを踏み出したいと考えているかもしれません。まず、これはコストのかかるサイバー攻撃から世界を守ることだけを目的とするものではなく、非常に賢明な方法であることを知っておくとよいでしょう。専門家はこう言っています の需要 有能なサイバーセキュリティ担当者は、終わりが見えないまま急増しています。DevSecOps をマスターした人には、長く収益性の高いキャリアが期待できます。
さまざまなソフトウェアベースのツールを使った脆弱性スキャンのような従来のサイバーセキュリティ戦術とは異なり、DevSecOpsにはコーディング時にセキュリティを実装する方法を知っている人が必要なため、DevSecOpsエンジニアの雇用保障はさらに確実になります。Booz、Allen、Hamiltonのアナリストがブログで指摘しているように、「 DevSecOps 導入に関する 5 つの神話 組織はDevSecOpsを望み、必要とさえしていますが、単に購入することはできません。DevSecOps は、ソフトウェア開発ライフサイクル全体にわたって、部門の枠を超えたチームがテクノロジーを統合して共同作業できるようにする方法論であり、熟練した人材、変更管理、複数の利害関係者による継続的な取り組みが必要です。
Booz、Allen、Hamiltonによると、企業はリリース管理ソフトウェアなど、DevSecOpsの特定の側面に役立つアプリやツールを購入できますが、「それを実現させるのは実際にはデリバリーチームです」。DevSecOps が提供する継続的な改善と、その文化やパラダイムシフトを推進しているのは彼らです。
組織は実行可能なDevSecOpsプログラムを「購入」することはできません。さまざまなツール、社内の知識、ガイダンスを利用して、セキュリティ文化を高めると同時にビジネス上意味のあるプログラムを構築、維持する必要があります。簡単ではありませんが、不可能とはほど遠いものです。
DevSecOps ムーブメントに参加するにはどうすればよいか
DevSecOpsエンジニアになるための第一歩は、DevSecOpsが一連の技術であると同時に文化でもあることを認識することです。それには、作成するあらゆるコードの一部としてセキュリティを実装する意志と、コーディング時にセキュリティの欠陥や脆弱性を積極的に探し、本番環境に移行するずっと前に修正することで組織を積極的に保護したいという願望が必要です。ほとんどの DevSecOps エンジニアは、自分の職業とスキルを非常に真剣に受け止めています。DevSecOps プロフェッショナル組織ですらあります。 マニフェストがあります 彼らの信念を述べる。
マニフェストは読みやすくなることはめったにないので、マニフェストはちょっと手間がかかります。しかし、その中核には、優れたDevSecOpsエンジニア全員が学ぶべき真実がいくつかあります。たとえば、次のようないくつかの真実があります。
- アプリケーションセキュリティチームが味方であることを実感してください。ほとんどの組織では、AppSecのスペシャリストは開発者と対立しています。なぜなら、彼らは常に完成したコードをさらなる作業のために送り返しているからです。AppSecチームは、一般的なセキュリティバグの導入により、完成したコードが本番環境に移行するのを遅らせることがあるため、開発者をあまり愛さないことがよくあります。しかし、賢い DevSecOps エンジニアであれば、セキュリティチームの目標は最終的には開発者やコーダーと同じであることに気付くでしょう。親友である必要はありませんが、穏やかで協力的な仕事上の関係を築くことは成功に不可欠です。
- 安全なコーディングテクニックを実践し、磨きをかけましょう。 開発中にアプリが脆弱になる方法を見つけることができれば、それらの抜け穴を塞ぐことで、将来のハッカーを阻止することができます。もちろん、そのためには脆弱性の理解と、それを修正するためのツールの両方が必要です。は セキュア・コード・ウォリアーのブログ ページでは、遭遇する最も一般的で危険な脆弱性についての洞察が得られるだけでなく、知識をテストするための実践的なアドバイスや課題も記載されています。最も重要なことは、セキュリティを念頭に置き、既存の知識をさらに深めるのに役立つ簡単なトレーニングに時間を割くことです。開発者のセキュリティに対するやりとりは、ほとんど目立たず、否定的なものでさえあるのが一般的ですが、セキュリティのスキルアップは素晴らしいキャリアアップであり、面倒な作業である必要はありません。
- 覚えておいてください。DevSecOpsのスーパースターは、組織のポジティブなセキュリティ文化に貢献しています。 固有の問題に関係なくアプリを迅速に提供するという過去の目標に焦点を当てるのではなく、コード開発における脆弱性の発見と修正を最優先事項にすることが重要です。セキュリティは全員の仕事と見なさなければならず、効果的で安全性の高いアプリケーションを毎回デプロイすることから得られる賞賛と報酬を全員が分かち合うべきです。
安全なコーディングとセキュリティのベストプラクティスをゼロから推進し、トレーニングソリューションを推奨し、すべてが手を取り巻くペースの速いDevSecOpsの世界でコーダーが取り残されないようにすることで、組織で素晴らしいセキュリティ文化を育むことができます。唯一の良いコードは安全なコードであり、熟練したセキュリティ意識の高い開発者はパズルの重要なピースです。個人的および職業的な報酬は、確かに努力するだけの価値があり、毎年何十億もの個人データ記録が侵害されている(そして増え続けている)ため、私たちはあなたを必要としています。最前線に立ち、デジタル世界の悪者から身を守るのを手伝ってください。
マティアス・マドゥ博士は、のCTO兼共同創設者です セキュア・コード・ウォリアー。彼はセキュリティの専門家であり、長年の開発者であり、フォートナイト中毒者です。
世界はウォーターフォール、アジャイル、そして今はDevOpsに移行し始めています。では、次の解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
テクノロジーそのものと同様に、コード開発のためのツール、テクニック、最適なプロセスは急速に進化しています。私たち人間は、より多くのソフトウェア、より多くの機能、より多くの機能に対する飽くなきニーズを抱えています。そして、これまで以上に速く、より質的に、そして何よりも安全であることを望んでいます。ほんの数年前までは、大きな作業を小さな断片に分割し、顧客からの迅速なフィードバックサイクルに迅速に適応できるようにするために、次に使われていたのがアジャイル開発でした。それ以前は、ウォーターフォール方式が主流でした。
多くの人々や組織がウォーターフォールからアジャイルに移行しつつあり、誰もがまだ移行しているわけではありませんが、彼らはすでに新しい問題に直面しています。開発チームと運用担当者は依然としてサイロ化された状態で働いています。このような環境で、アジャイル方式で取り組む小規模チームが、より迅速なデプロイとより迅速なデリバリーという約束を実現するにはどうすればよいでしょうか。
DevOpsは、開発と運用を組み合わせた名前で、新しいソフトウェアを作成する際に開発者と運用チームの両方の機能を統合するために作成されました。これは本質的に、開発者が物事を運用チームに任せて責任を取るのではなく、開発者が物事を本番環境に持ち込むためのオーナーシップを得られるようにするためでした。
一日に2、3回でも出荷速度が速くなることは確かです。これはアジャイルの路地ではうまくいくようです。しかし、DevOps では依然として、エンジニアと運用担当者が混在する 1 つの大きなチームができあがり、実際にはアジャイルとの連携が取れていない可能性があります。最終的には、DevOps はアジャイルの進化と考えるのが一番です。方法論は多くの点で似ていて、相違点も補完し合っているからです。DevOps は自動化された継続的インテグレーションとデプロイメントのパイプラインを推進しています。これは頻繁なリリースを実現するために不可欠ですが、チームレベルではそれだけでは十分ではありません。そこで、アジャイルの出番です。アジャイルにより、チーム、特に小規模チームは、これらの迅速なリリースや変化する要件に対応しながら、タスクに取り組み、コラボレーションを続けることができます。確かに理想的に思えますし、そのプロセスによってチームは最終目標に向かって順調に進むことができますが、それ自体に問題がないわけではありません。
DevOps のベストプラクティスを使用して作成されたソフトウェアは、最初のボス戦、つまりセキュリティチームでまだつまずく可能性があります。従来型/ウォーターフォール型のアプリケーション・セキュリティ・スペシャリストが、ツールや複雑な手動レビューを行ってコードを調べると、容認できないリスクや脆弱性が発見されることが多く、それらは事後に修正する必要があります。完成したアプリケーションにセキュリティ修正を組み込むプロセスは迅速でも簡単でもありません。しかも、組織にとってははるかに費用がかかります。
では、世界がウォーターフォール、アジャイル、そして今はDevOpsに移行しているとしたら、解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
開発技術は常に進化していますが、ありがたいことに、これはそれほど大きな変化ではありません。組織は「DevOps」に「Sec」を入れるだけでよいのです... こうして DevSecOps が生まれました。DevSecOps の主な目標は、開発、運用、そして最後になりましたが、セキュリティチーム間の障壁を打ち破り、オープンなコラボレーションを行うことです。DevSecOpsは、ソフトウェアエンジニアリングの戦術であると同時に、ソフトウェア開発ライフサイクル全体を通じてセキュリティの自動化と監視を提唱する文化でもあります。
これは組織レベルの別のプロセスのように思えるかもしれません。開発する機能がたくさんある開発者にとっては「料理人が多すぎる」プロセスかもしれません。しかし、DevSecOps の方法論は、セキュリティ意識の高い開発者が本当に輝ける機会をもたらします。
DevSecOpsの明るい未来
では、なぜコーダーがDevSecOpsエンジニアになりたいと思うのでしょうか。DevOps (またはアジャイル) の経験はあるものの、DevSecOps に習熟するために次のステップを踏み出したいと考えているかもしれません。まず、これはコストのかかるサイバー攻撃から世界を守ることだけを目的とするものではなく、非常に賢明な方法であることを知っておくとよいでしょう。専門家はこう言っています の需要 有能なサイバーセキュリティ担当者は、終わりが見えないまま急増しています。DevSecOps をマスターした人には、長く収益性の高いキャリアが期待できます。
さまざまなソフトウェアベースのツールを使った脆弱性スキャンのような従来のサイバーセキュリティ戦術とは異なり、DevSecOpsにはコーディング時にセキュリティを実装する方法を知っている人が必要なため、DevSecOpsエンジニアの雇用保障はさらに確実になります。Booz、Allen、Hamiltonのアナリストがブログで指摘しているように、「 DevSecOps 導入に関する 5 つの神話 組織はDevSecOpsを望み、必要とさえしていますが、単に購入することはできません。DevSecOps は、ソフトウェア開発ライフサイクル全体にわたって、部門の枠を超えたチームがテクノロジーを統合して共同作業できるようにする方法論であり、熟練した人材、変更管理、複数の利害関係者による継続的な取り組みが必要です。
Booz、Allen、Hamiltonによると、企業はリリース管理ソフトウェアなど、DevSecOpsの特定の側面に役立つアプリやツールを購入できますが、「それを実現させるのは実際にはデリバリーチームです」。DevSecOps が提供する継続的な改善と、その文化やパラダイムシフトを推進しているのは彼らです。
組織は実行可能なDevSecOpsプログラムを「購入」することはできません。さまざまなツール、社内の知識、ガイダンスを利用して、セキュリティ文化を高めると同時にビジネス上意味のあるプログラムを構築、維持する必要があります。簡単ではありませんが、不可能とはほど遠いものです。
DevSecOps ムーブメントに参加するにはどうすればよいか
DevSecOpsエンジニアになるための第一歩は、DevSecOpsが一連の技術であると同時に文化でもあることを認識することです。それには、作成するあらゆるコードの一部としてセキュリティを実装する意志と、コーディング時にセキュリティの欠陥や脆弱性を積極的に探し、本番環境に移行するずっと前に修正することで組織を積極的に保護したいという願望が必要です。ほとんどの DevSecOps エンジニアは、自分の職業とスキルを非常に真剣に受け止めています。DevSecOps プロフェッショナル組織ですらあります。 マニフェストがあります 彼らの信念を述べる。
マニフェストは読みやすくなることはめったにないので、マニフェストはちょっと手間がかかります。しかし、その中核には、優れたDevSecOpsエンジニア全員が学ぶべき真実がいくつかあります。たとえば、次のようないくつかの真実があります。
- アプリケーションセキュリティチームが味方であることを実感してください。ほとんどの組織では、AppSecのスペシャリストは開発者と対立しています。なぜなら、彼らは常に完成したコードをさらなる作業のために送り返しているからです。AppSecチームは、一般的なセキュリティバグの導入により、完成したコードが本番環境に移行するのを遅らせることがあるため、開発者をあまり愛さないことがよくあります。しかし、賢い DevSecOps エンジニアであれば、セキュリティチームの目標は最終的には開発者やコーダーと同じであることに気付くでしょう。親友である必要はありませんが、穏やかで協力的な仕事上の関係を築くことは成功に不可欠です。
- 安全なコーディングテクニックを実践し、磨きをかけましょう。 開発中にアプリが脆弱になる方法を見つけることができれば、それらの抜け穴を塞ぐことで、将来のハッカーを阻止することができます。もちろん、そのためには脆弱性の理解と、それを修正するためのツールの両方が必要です。は セキュア・コード・ウォリアーのブログ ページでは、遭遇する最も一般的で危険な脆弱性についての洞察が得られるだけでなく、知識をテストするための実践的なアドバイスや課題も記載されています。最も重要なことは、セキュリティを念頭に置き、既存の知識をさらに深めるのに役立つ簡単なトレーニングに時間を割くことです。開発者のセキュリティに対するやりとりは、ほとんど目立たず、否定的なものでさえあるのが一般的ですが、セキュリティのスキルアップは素晴らしいキャリアアップであり、面倒な作業である必要はありません。
- 覚えておいてください。DevSecOpsのスーパースターは、組織のポジティブなセキュリティ文化に貢献しています。 固有の問題に関係なくアプリを迅速に提供するという過去の目標に焦点を当てるのではなく、コード開発における脆弱性の発見と修正を最優先事項にすることが重要です。セキュリティは全員の仕事と見なさなければならず、効果的で安全性の高いアプリケーションを毎回デプロイすることから得られる賞賛と報酬を全員が分かち合うべきです。
安全なコーディングとセキュリティのベストプラクティスをゼロから推進し、トレーニングソリューションを推奨し、すべてが手を取り巻くペースの速いDevSecOpsの世界でコーダーが取り残されないようにすることで、組織で素晴らしいセキュリティ文化を育むことができます。唯一の良いコードは安全なコードであり、熟練したセキュリティ意識の高い開発者はパズルの重要なピースです。個人的および職業的な報酬は、確かに努力するだけの価値があり、毎年何十億もの個人データ記録が侵害されている(そして増え続けている)ため、私たちはあなたを必要としています。最前線に立ち、デジタル世界の悪者から身を守るのを手伝ってください。
マティアス・マドゥ博士は、のCTO兼共同創設者です セキュア・コード・ウォリアー。彼はセキュリティの専門家であり、長年の開発者であり、フォートナイト中毒者です。
テクノロジーそのものと同様に、コード開発のためのツール、テクニック、最適なプロセスは急速に進化しています。私たち人間は、より多くのソフトウェア、より多くの機能、より多くの機能に対する飽くなきニーズを抱えています。そして、これまで以上に速く、より質的に、そして何よりも安全であることを望んでいます。ほんの数年前までは、大きな作業を小さな断片に分割し、顧客からの迅速なフィードバックサイクルに迅速に適応できるようにするために、次に使われていたのがアジャイル開発でした。それ以前は、ウォーターフォール方式が主流でした。
多くの人々や組織がウォーターフォールからアジャイルに移行しつつあり、誰もがまだ移行しているわけではありませんが、彼らはすでに新しい問題に直面しています。開発チームと運用担当者は依然としてサイロ化された状態で働いています。このような環境で、アジャイル方式で取り組む小規模チームが、より迅速なデプロイとより迅速なデリバリーという約束を実現するにはどうすればよいでしょうか。
DevOpsは、開発と運用を組み合わせた名前で、新しいソフトウェアを作成する際に開発者と運用チームの両方の機能を統合するために作成されました。これは本質的に、開発者が物事を運用チームに任せて責任を取るのではなく、開発者が物事を本番環境に持ち込むためのオーナーシップを得られるようにするためでした。
一日に2、3回でも出荷速度が速くなることは確かです。これはアジャイルの路地ではうまくいくようです。しかし、DevOps では依然として、エンジニアと運用担当者が混在する 1 つの大きなチームができあがり、実際にはアジャイルとの連携が取れていない可能性があります。最終的には、DevOps はアジャイルの進化と考えるのが一番です。方法論は多くの点で似ていて、相違点も補完し合っているからです。DevOps は自動化された継続的インテグレーションとデプロイメントのパイプラインを推進しています。これは頻繁なリリースを実現するために不可欠ですが、チームレベルではそれだけでは十分ではありません。そこで、アジャイルの出番です。アジャイルにより、チーム、特に小規模チームは、これらの迅速なリリースや変化する要件に対応しながら、タスクに取り組み、コラボレーションを続けることができます。確かに理想的に思えますし、そのプロセスによってチームは最終目標に向かって順調に進むことができますが、それ自体に問題がないわけではありません。
DevOps のベストプラクティスを使用して作成されたソフトウェアは、最初のボス戦、つまりセキュリティチームでまだつまずく可能性があります。従来型/ウォーターフォール型のアプリケーション・セキュリティ・スペシャリストが、ツールや複雑な手動レビューを行ってコードを調べると、容認できないリスクや脆弱性が発見されることが多く、それらは事後に修正する必要があります。完成したアプリケーションにセキュリティ修正を組み込むプロセスは迅速でも簡単でもありません。しかも、組織にとってははるかに費用がかかります。
では、世界がウォーターフォール、アジャイル、そして今はDevOpsに移行しているとしたら、解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
開発技術は常に進化していますが、ありがたいことに、これはそれほど大きな変化ではありません。組織は「DevOps」に「Sec」を入れるだけでよいのです... こうして DevSecOps が生まれました。DevSecOps の主な目標は、開発、運用、そして最後になりましたが、セキュリティチーム間の障壁を打ち破り、オープンなコラボレーションを行うことです。DevSecOpsは、ソフトウェアエンジニアリングの戦術であると同時に、ソフトウェア開発ライフサイクル全体を通じてセキュリティの自動化と監視を提唱する文化でもあります。
これは組織レベルの別のプロセスのように思えるかもしれません。開発する機能がたくさんある開発者にとっては「料理人が多すぎる」プロセスかもしれません。しかし、DevSecOps の方法論は、セキュリティ意識の高い開発者が本当に輝ける機会をもたらします。
DevSecOpsの明るい未来
では、なぜコーダーがDevSecOpsエンジニアになりたいと思うのでしょうか。DevOps (またはアジャイル) の経験はあるものの、DevSecOps に習熟するために次のステップを踏み出したいと考えているかもしれません。まず、これはコストのかかるサイバー攻撃から世界を守ることだけを目的とするものではなく、非常に賢明な方法であることを知っておくとよいでしょう。専門家はこう言っています の需要 有能なサイバーセキュリティ担当者は、終わりが見えないまま急増しています。DevSecOps をマスターした人には、長く収益性の高いキャリアが期待できます。
さまざまなソフトウェアベースのツールを使った脆弱性スキャンのような従来のサイバーセキュリティ戦術とは異なり、DevSecOpsにはコーディング時にセキュリティを実装する方法を知っている人が必要なため、DevSecOpsエンジニアの雇用保障はさらに確実になります。Booz、Allen、Hamiltonのアナリストがブログで指摘しているように、「 DevSecOps 導入に関する 5 つの神話 組織はDevSecOpsを望み、必要とさえしていますが、単に購入することはできません。DevSecOps は、ソフトウェア開発ライフサイクル全体にわたって、部門の枠を超えたチームがテクノロジーを統合して共同作業できるようにする方法論であり、熟練した人材、変更管理、複数の利害関係者による継続的な取り組みが必要です。
Booz、Allen、Hamiltonによると、企業はリリース管理ソフトウェアなど、DevSecOpsの特定の側面に役立つアプリやツールを購入できますが、「それを実現させるのは実際にはデリバリーチームです」。DevSecOps が提供する継続的な改善と、その文化やパラダイムシフトを推進しているのは彼らです。
組織は実行可能なDevSecOpsプログラムを「購入」することはできません。さまざまなツール、社内の知識、ガイダンスを利用して、セキュリティ文化を高めると同時にビジネス上意味のあるプログラムを構築、維持する必要があります。簡単ではありませんが、不可能とはほど遠いものです。
DevSecOps ムーブメントに参加するにはどうすればよいか
DevSecOpsエンジニアになるための第一歩は、DevSecOpsが一連の技術であると同時に文化でもあることを認識することです。それには、作成するあらゆるコードの一部としてセキュリティを実装する意志と、コーディング時にセキュリティの欠陥や脆弱性を積極的に探し、本番環境に移行するずっと前に修正することで組織を積極的に保護したいという願望が必要です。ほとんどの DevSecOps エンジニアは、自分の職業とスキルを非常に真剣に受け止めています。DevSecOps プロフェッショナル組織ですらあります。 マニフェストがあります 彼らの信念を述べる。
マニフェストは読みやすくなることはめったにないので、マニフェストはちょっと手間がかかります。しかし、その中核には、優れたDevSecOpsエンジニア全員が学ぶべき真実がいくつかあります。たとえば、次のようないくつかの真実があります。
- アプリケーションセキュリティチームが味方であることを実感してください。ほとんどの組織では、AppSecのスペシャリストは開発者と対立しています。なぜなら、彼らは常に完成したコードをさらなる作業のために送り返しているからです。AppSecチームは、一般的なセキュリティバグの導入により、完成したコードが本番環境に移行するのを遅らせることがあるため、開発者をあまり愛さないことがよくあります。しかし、賢い DevSecOps エンジニアであれば、セキュリティチームの目標は最終的には開発者やコーダーと同じであることに気付くでしょう。親友である必要はありませんが、穏やかで協力的な仕事上の関係を築くことは成功に不可欠です。
- 安全なコーディングテクニックを実践し、磨きをかけましょう。 開発中にアプリが脆弱になる方法を見つけることができれば、それらの抜け穴を塞ぐことで、将来のハッカーを阻止することができます。もちろん、そのためには脆弱性の理解と、それを修正するためのツールの両方が必要です。は セキュア・コード・ウォリアーのブログ ページでは、遭遇する最も一般的で危険な脆弱性についての洞察が得られるだけでなく、知識をテストするための実践的なアドバイスや課題も記載されています。最も重要なことは、セキュリティを念頭に置き、既存の知識をさらに深めるのに役立つ簡単なトレーニングに時間を割くことです。開発者のセキュリティに対するやりとりは、ほとんど目立たず、否定的なものでさえあるのが一般的ですが、セキュリティのスキルアップは素晴らしいキャリアアップであり、面倒な作業である必要はありません。
- 覚えておいてください。DevSecOpsのスーパースターは、組織のポジティブなセキュリティ文化に貢献しています。 固有の問題に関係なくアプリを迅速に提供するという過去の目標に焦点を当てるのではなく、コード開発における脆弱性の発見と修正を最優先事項にすることが重要です。セキュリティは全員の仕事と見なさなければならず、効果的で安全性の高いアプリケーションを毎回デプロイすることから得られる賞賛と報酬を全員が分かち合うべきです。
安全なコーディングとセキュリティのベストプラクティスをゼロから推進し、トレーニングソリューションを推奨し、すべてが手を取り巻くペースの速いDevSecOpsの世界でコーダーが取り残されないようにすることで、組織で素晴らしいセキュリティ文化を育むことができます。唯一の良いコードは安全なコードであり、熟練したセキュリティ意識の高い開発者はパズルの重要なピースです。個人的および職業的な報酬は、確かに努力するだけの価値があり、毎年何十億もの個人データ記録が侵害されている(そして増え続けている)ため、私たちはあなたを必要としています。最前線に立ち、デジタル世界の悪者から身を守るのを手伝ってください。
マティアス・マドゥ博士は、のCTO兼共同創設者です セキュア・コード・ウォリアー。彼はセキュリティの専門家であり、長年の開発者であり、フォートナイト中毒者です。
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
テクノロジーそのものと同様に、コード開発のためのツール、テクニック、最適なプロセスは急速に進化しています。私たち人間は、より多くのソフトウェア、より多くの機能、より多くの機能に対する飽くなきニーズを抱えています。そして、これまで以上に速く、より質的に、そして何よりも安全であることを望んでいます。ほんの数年前までは、大きな作業を小さな断片に分割し、顧客からの迅速なフィードバックサイクルに迅速に適応できるようにするために、次に使われていたのがアジャイル開発でした。それ以前は、ウォーターフォール方式が主流でした。
多くの人々や組織がウォーターフォールからアジャイルに移行しつつあり、誰もがまだ移行しているわけではありませんが、彼らはすでに新しい問題に直面しています。開発チームと運用担当者は依然としてサイロ化された状態で働いています。このような環境で、アジャイル方式で取り組む小規模チームが、より迅速なデプロイとより迅速なデリバリーという約束を実現するにはどうすればよいでしょうか。
DevOpsは、開発と運用を組み合わせた名前で、新しいソフトウェアを作成する際に開発者と運用チームの両方の機能を統合するために作成されました。これは本質的に、開発者が物事を運用チームに任せて責任を取るのではなく、開発者が物事を本番環境に持ち込むためのオーナーシップを得られるようにするためでした。
一日に2、3回でも出荷速度が速くなることは確かです。これはアジャイルの路地ではうまくいくようです。しかし、DevOps では依然として、エンジニアと運用担当者が混在する 1 つの大きなチームができあがり、実際にはアジャイルとの連携が取れていない可能性があります。最終的には、DevOps はアジャイルの進化と考えるのが一番です。方法論は多くの点で似ていて、相違点も補完し合っているからです。DevOps は自動化された継続的インテグレーションとデプロイメントのパイプラインを推進しています。これは頻繁なリリースを実現するために不可欠ですが、チームレベルではそれだけでは十分ではありません。そこで、アジャイルの出番です。アジャイルにより、チーム、特に小規模チームは、これらの迅速なリリースや変化する要件に対応しながら、タスクに取り組み、コラボレーションを続けることができます。確かに理想的に思えますし、そのプロセスによってチームは最終目標に向かって順調に進むことができますが、それ自体に問題がないわけではありません。
DevOps のベストプラクティスを使用して作成されたソフトウェアは、最初のボス戦、つまりセキュリティチームでまだつまずく可能性があります。従来型/ウォーターフォール型のアプリケーション・セキュリティ・スペシャリストが、ツールや複雑な手動レビューを行ってコードを調べると、容認できないリスクや脆弱性が発見されることが多く、それらは事後に修正する必要があります。完成したアプリケーションにセキュリティ修正を組み込むプロセスは迅速でも簡単でもありません。しかも、組織にとってははるかに費用がかかります。
では、世界がウォーターフォール、アジャイル、そして今はDevOpsに移行しているとしたら、解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
開発技術は常に進化していますが、ありがたいことに、これはそれほど大きな変化ではありません。組織は「DevOps」に「Sec」を入れるだけでよいのです... こうして DevSecOps が生まれました。DevSecOps の主な目標は、開発、運用、そして最後になりましたが、セキュリティチーム間の障壁を打ち破り、オープンなコラボレーションを行うことです。DevSecOpsは、ソフトウェアエンジニアリングの戦術であると同時に、ソフトウェア開発ライフサイクル全体を通じてセキュリティの自動化と監視を提唱する文化でもあります。
これは組織レベルの別のプロセスのように思えるかもしれません。開発する機能がたくさんある開発者にとっては「料理人が多すぎる」プロセスかもしれません。しかし、DevSecOps の方法論は、セキュリティ意識の高い開発者が本当に輝ける機会をもたらします。
DevSecOpsの明るい未来
では、なぜコーダーがDevSecOpsエンジニアになりたいと思うのでしょうか。DevOps (またはアジャイル) の経験はあるものの、DevSecOps に習熟するために次のステップを踏み出したいと考えているかもしれません。まず、これはコストのかかるサイバー攻撃から世界を守ることだけを目的とするものではなく、非常に賢明な方法であることを知っておくとよいでしょう。専門家はこう言っています の需要 有能なサイバーセキュリティ担当者は、終わりが見えないまま急増しています。DevSecOps をマスターした人には、長く収益性の高いキャリアが期待できます。
さまざまなソフトウェアベースのツールを使った脆弱性スキャンのような従来のサイバーセキュリティ戦術とは異なり、DevSecOpsにはコーディング時にセキュリティを実装する方法を知っている人が必要なため、DevSecOpsエンジニアの雇用保障はさらに確実になります。Booz、Allen、Hamiltonのアナリストがブログで指摘しているように、「 DevSecOps 導入に関する 5 つの神話 組織はDevSecOpsを望み、必要とさえしていますが、単に購入することはできません。DevSecOps は、ソフトウェア開発ライフサイクル全体にわたって、部門の枠を超えたチームがテクノロジーを統合して共同作業できるようにする方法論であり、熟練した人材、変更管理、複数の利害関係者による継続的な取り組みが必要です。
Booz、Allen、Hamiltonによると、企業はリリース管理ソフトウェアなど、DevSecOpsの特定の側面に役立つアプリやツールを購入できますが、「それを実現させるのは実際にはデリバリーチームです」。DevSecOps が提供する継続的な改善と、その文化やパラダイムシフトを推進しているのは彼らです。
組織は実行可能なDevSecOpsプログラムを「購入」することはできません。さまざまなツール、社内の知識、ガイダンスを利用して、セキュリティ文化を高めると同時にビジネス上意味のあるプログラムを構築、維持する必要があります。簡単ではありませんが、不可能とはほど遠いものです。
DevSecOps ムーブメントに参加するにはどうすればよいか
DevSecOpsエンジニアになるための第一歩は、DevSecOpsが一連の技術であると同時に文化でもあることを認識することです。それには、作成するあらゆるコードの一部としてセキュリティを実装する意志と、コーディング時にセキュリティの欠陥や脆弱性を積極的に探し、本番環境に移行するずっと前に修正することで組織を積極的に保護したいという願望が必要です。ほとんどの DevSecOps エンジニアは、自分の職業とスキルを非常に真剣に受け止めています。DevSecOps プロフェッショナル組織ですらあります。 マニフェストがあります 彼らの信念を述べる。
マニフェストは読みやすくなることはめったにないので、マニフェストはちょっと手間がかかります。しかし、その中核には、優れたDevSecOpsエンジニア全員が学ぶべき真実がいくつかあります。たとえば、次のようないくつかの真実があります。
- アプリケーションセキュリティチームが味方であることを実感してください。ほとんどの組織では、AppSecのスペシャリストは開発者と対立しています。なぜなら、彼らは常に完成したコードをさらなる作業のために送り返しているからです。AppSecチームは、一般的なセキュリティバグの導入により、完成したコードが本番環境に移行するのを遅らせることがあるため、開発者をあまり愛さないことがよくあります。しかし、賢い DevSecOps エンジニアであれば、セキュリティチームの目標は最終的には開発者やコーダーと同じであることに気付くでしょう。親友である必要はありませんが、穏やかで協力的な仕事上の関係を築くことは成功に不可欠です。
- 安全なコーディングテクニックを実践し、磨きをかけましょう。 開発中にアプリが脆弱になる方法を見つけることができれば、それらの抜け穴を塞ぐことで、将来のハッカーを阻止することができます。もちろん、そのためには脆弱性の理解と、それを修正するためのツールの両方が必要です。は セキュア・コード・ウォリアーのブログ ページでは、遭遇する最も一般的で危険な脆弱性についての洞察が得られるだけでなく、知識をテストするための実践的なアドバイスや課題も記載されています。最も重要なことは、セキュリティを念頭に置き、既存の知識をさらに深めるのに役立つ簡単なトレーニングに時間を割くことです。開発者のセキュリティに対するやりとりは、ほとんど目立たず、否定的なものでさえあるのが一般的ですが、セキュリティのスキルアップは素晴らしいキャリアアップであり、面倒な作業である必要はありません。
- 覚えておいてください。DevSecOpsのスーパースターは、組織のポジティブなセキュリティ文化に貢献しています。 固有の問題に関係なくアプリを迅速に提供するという過去の目標に焦点を当てるのではなく、コード開発における脆弱性の発見と修正を最優先事項にすることが重要です。セキュリティは全員の仕事と見なさなければならず、効果的で安全性の高いアプリケーションを毎回デプロイすることから得られる賞賛と報酬を全員が分かち合うべきです。
安全なコーディングとセキュリティのベストプラクティスをゼロから推進し、トレーニングソリューションを推奨し、すべてが手を取り巻くペースの速いDevSecOpsの世界でコーダーが取り残されないようにすることで、組織で素晴らしいセキュリティ文化を育むことができます。唯一の良いコードは安全なコードであり、熟練したセキュリティ意識の高い開発者はパズルの重要なピースです。個人的および職業的な報酬は、確かに努力するだけの価値があり、毎年何十億もの個人データ記録が侵害されている(そして増え続けている)ため、私たちはあなたを必要としています。最前線に立ち、デジタル世界の悪者から身を守るのを手伝ってください。
マティアス・マドゥ博士は、のCTO兼共同創設者です セキュア・コード・ウォリアー。彼はセキュリティの専門家であり、長年の開発者であり、フォートナイト中毒者です。
Índice
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
