開発者がセキュリティに関与するために必要なこと

さて、私たちは皆、開発者が優れた問題解決者であることを知っています。 彼らは毎日、アイデアを現実に変えるこの超大国を利用しています。 しかし、大きな力にはさらに大きな責任が伴います。 つまり、安全なアプリケーションを確実に作成することは、エキサイティングな新機能を予定通りに提供することよりも重要になる可能性があるということです。

何かを変えなければならない — 今日のアプリケーション セキュリティの状態

興味深いことに、Salt Security (2022) の最近のレポートによると、回答者の 62% が、セキュリティ上の懸念により、本番環境へのコードのロールアウトを遅らせていました。 貴重な新製品の機能を予定通りにリリースできなければ、最終的な利益を損なう可能性がありますが、開発サイクルの早い段階でセキュリティの脆弱性を検出することは、本番システムで発見された脆弱性を修正するよりも、バグごとに 100 倍近く安くなる可能性があります。 (IBM X-フォース)

では、ますます複雑化するこの難題に対して、私たちは何ができるでしょうか? 答えはすでにわかっていると思うかもしれません。 ただし、セキュリティ チームは、セキュリティ上の懸念に対処するための適切な時間を指定するのにすでに苦労している可能性が高いです。 さらに、セキュリティはすべての従業員の責任である必要があります。

何かを変えなければならないことを喜んで認めているのかもしれませんし、開発者のために安全なコードのトレーニングとスキルアップに全力を注いでいるのかもしれません。 Immersive Labs では、開発者チームが最新情報を入手し、不適切なプラクティスを特定し、安全なコードを書かないことの意味を真に理解できるように、さまざまな安全なコーディングのトピックと言語を既にカバーしています。脆弱なコードを導入または無視することの目に見えるコスト。 私たちは実際の開発環境とテクノロジーを使用してこれらすべてを行い、学んだことと、この新たに発見された知識を開発者の日々のワークフローに適用する方法との間の断絶を取り除きます。

ただし、ほとんどの開発者の日常のワークフローには、コーディングのセキュリティ面のスキルアップに専念する時間が含まれていません。 実際、「最前線の開発者のうち、アプリケーションのセキュリティを自分たちの責任の重要な部分と見なしているのはわずか 27% に過ぎません」。 (Osterman Research (2021))。 彼らをもっと関与させる時が来ました。

「馬を水に導くことはできるが、水を飲ませることはできない」という古いことわざは、このジレンマをかなりうまくまとめています。

セキュアコーディング大会集

ここ Immersive Labs では、アプリケーション セキュリティ チームが、この問題に正面から取り組むための安全なコーディング CTF の作成に忙殺されています。 Python、Java、C#、Go、Node.js の 5 つの言語を使用して、初心者から主要な開発者に挑戦できるように設計された一連のラボです。

この一連のラボは、チームのニーズに合った期間にわたってイベントとして実行されます。 やりがいのあるコンテンツ、楽しさ、自慢できる権利の完璧な調合のために、開発者に魅力的な環境と健全な量の競争を組み合わせたものを提供します。

ますます難しくなるこれらのラボをナビゲートするとき、彼らは侵入テスト レポートから脆弱性を見つけて修正する任務を負います。

私たちの高度な課題の 1 つに到達するだけの能力がある場合は、ハッカーのエクスプロイト スクリプト (概念実証とも呼ばれる) をリバース エンジニアリングする機会に直面します。 [PoC]) アプリケーションがどのように侵害されたかを発見し、彼らが使用した脆弱性を修正するために!

それらをすべて完了すると、リーダーボードのトップに位置し、チーム内のアプリケーション セキュリティの頼りになるモニカを獲得できます。

このレベルの没入感は、典型的な教室での学習で感じられる目的の欠如を根絶し、最も重要なことは、幅広いセキュア コーディング プラクティスによるスキルアップを目的としたセキュア コーディング ラボの広範なカタログを通じて強化できる学習機会に開発者をさらすことです。

Leave a Comment

Your email address will not be published. Required fields are marked *