開発者にインセンティブを与えることは、より良いセキュリティ慣行の鍵です
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
プロの開発者はDevSecOpsを採用して安全なコードを書きたいと考えていますが、その取り組みを拡大したいのであれば、組織はこの大きな変化をサポートする必要があります。
Director General, Presidente y Cofundador
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
Índice
Director General, Presidente y Cofundador
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
