「セキュリティ」は汚い言葉ではない：ポジティブなアプローチがセキュリティプログラムをどのように変えるか

もともとはに掲載されました DevSecCon ブログ。

私は、セキュリティ・ベスト・プラクティスを守るうえで、開発チームとアプリケーション・セキュリティ・スペシャリストの間に生じる緊張関係について、両者の立場に立ってきたことをよく知っています。

難しいことです。結局のところ、開発者の最優先事項はソフトウェア機能の提供です。美しく、機能的で、アプリケーションの力をアピールできるものでなければなりません。最近ではアジャイル開発手法が一般的に行われているため、これらの機能は厳しい期限内に完成させる必要があります。また、セキュリティが懸念事項のリストの上位にあり、他にも多くのことが危機に瀕していることはめったにありません。

セキュリティはAppSecチームの領域と見なされています。AppSecチームは、コードをスキャンして（さらに悪いことに、1行ずつ手動で確認して）、コードが安全でないか、まったく使用できないことを開発チームに報告するといううらやましいほどの仕事をしています。彼らは自分たちの良い仕事をぶち壊し、イノベーションを阻害し、一般に開発者にとって頭痛の種となる泥棒のような存在です。結局のところ、セキュリティ問題の多くは非常に単純な解決策です。「おそらく、たった1行のコードで、脆弱なバックドアを数分で強化できるでしょう。

しかし、ここに問題があります。「セキュリティ」はネガティブな体験と同義語なので、開発者は本来あるべきほど密接に関わっていないだけです。このような一行の修正は行われていません。結局のところ、AppSecの担当者は常に同じ問題に遭遇しているのです。私たちが最初にSQLインジェクションの欠陥を発見 (およびその後の修正) してから20年以上経った今でも、彼らがSQLインジェクションの欠陥を指摘しているのはかなり腹立たしいことでしょう。

これまでに行ったことは、期待していたほど効果的に機能していません。私たちは、開発者とアプリケーション・セキュリティ・スペシャリストの間の架け橋を修復することに注力し、開発者がこの分野で真のインパクトをもたらすためのツールとトレーニングを受けられるような、ポジティブなセキュリティ文化の構築に努める必要があります。

誰が知っている？私のように彼らも好きになるかもしれない！

ポジティブ・セキュリティは、アプリケーション・セキュリティを向上させる最も迅速で簡単な方法です

「シティ」と、いや、目に見えない成果については大げさではありません。これは、安全なコーディングを成功に導くための絶対不可欠な要素です。

開発者は、最初に安全なコードを書くことによって、本番環境の最初からセキュリティを向上させる鍵を握っています。ポジティブなセキュリティ文化を醸成し、開発者がアプリケーションのセキュリティにワクワクするようになれば、AppSecの領域でスキャンや手動によるコードレビューを受ける前に、一般的な脆弱性を一掃できます。

それは すでにコミットされているコードの脆弱性を修正すると、30 倍の費用がかかるしたがって、開発者の強みを生かし、関心を持ち、実際に機能するトレーニングを見つけることは、繰り返し発生する脆弱性を特定して修正するための将来のコスト削減における大きな一歩となります。

開発者に焦点を当てた積極的な取り組みは、適切なセキュリティ文化を育みます。

全員がセキュリティのベストプラクティスを理解していれば、ポジティブなセキュリティ文化は幸せで不可欠な副産物になります。

積極的でスケーラブルな開発者中心の取り組みは、適切なセキュリティ文化を育みます。開発者を勝利に導くためには、問題解決能力と創造性を備えた開発者の意欲を引き付けることが不可欠です。また、新入社員がチームのセキュリティに対する期待に迅速に対応できるようにすることも重要です。 連絡を取る 開発者のセキュリティ関係がどのように発展してきたかについての概要と、セキュリティ意識向上プログラムを組織で成功させるためのアイデアを紹介します。