好奇心旺盛なセキュリティマインドを罰するのではなく、支援する必要がある理由
10代のセキュリティ研究者、ビル・デミルカピの最近の報告は、 重大な脆弱性の暴露 学校で使っていたソフトで確かに思い出がよみがえったよ好奇心旺盛な子供の頃、ソフトウェアのボンネットを持ち上げてその下をのぞき見して、すべてがどのように機能するか、そしてもっと重要なのは、それを壊すことができたかどうかを見ていたのを覚えています。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を求めてきました。セキュリティコミュニティ(アプローチは少し生意気ですが)は、できれば悪者が同じことをする前に、欠陥や潜在的な災害を発見する上で重要な役割を果たしています。
しかし、ここで問題なのは、彼の発見を受けて、彼が軽微な停学処分を受けたことです。そして、それは彼が会社に連絡するための手段をすべて使い果たした後に初めて起こりました(フォレットコーポレーション)個人的には、最終的に自分自身とシステムを侵害する能力を特定するために、かなり公開された公開方法を選択しました。Follett Corporationに倫理的な警告を繰り返し試みましたが、返答はありませんでした。一方、ソフトウェアは依然として脆弱で、大量の学生データは暗号化されていなかったため、非常に簡単に公開されました。
また、別の会社のソフトウェアであるBlackboardのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が何百万件ものレコードにアクセスして盗み取った可能性があります。このソフトウェアとフォレットの製品はどちらも彼の学校で使われていました。
「邪悪なハッカー」の話には問題があります。
デミルカピは今年の調査結果を発表しました デフコイン、彼のふざけた態度のよりいたずらっぽいディテールが観客の拍手喝采を浴びています。まさにその通りです。フォレット・コーポレーションは、当初はひどい状況に陥り、自分の発見が認められるまでに多くのハードルに直面していましたが、彼の努力に感謝し、彼のアドバイスに基づいて行動し、最終的にソフトウェアの安全性を高め、データ漏えいの別の統計になるという危機を回避したと伝えられています。高校卒業後はロチェスター工科大学にも通うことになるので、需要の高いセキュリティスペシャリストになるための正しい道を歩んでいることは明らかです。
私自身セキュリティ担当者として、この状況がどのように処理されたかに異議を唱えないことは困難です。このケースではすべてが順調に終わりますが、当初、彼は迷惑な台本小僧のように扱われ、本来はふさわしくないところに鼻を突っ込んでいました。Googleでこの事件を検索すると、彼を「ハッカー」と呼ぶ記事があります(セキュリティ素人の考えでは、これは彼をさまざまな意味で悪役として位置付けています)。実際、彼のアプローチ(および他の多くのアプローチ)は、データを安全に保つのに役立ちます。
好奇心旺盛で、賢く、セキュリティに重点を置いた、内部を見通す人材が必要です。そして、それをもっと頻繁に実行する必要があります。7 月現在、 40億件を超えるレコード 今年だけでも、悪質なデータ漏えいの被害に遭っています。8月に発生したファッション・ライフスタイルブランドのデータ流出により、この数字にさらに5,000万件が追加される可能性があります。 ポッシュマーク。
私たちは同じ過ちを犯していますが、さらに心配なのは、多くの場合、顔をしかめるような単純な脆弱性であり、つまずき続けていることです。
クロスサイトスクリプティングと SQL インジェクションはなくなりませんでした。
による報告どおり 有線、BlackboardsコミュニティエンゲージメントソフトウェアとFolletts学生情報システムには、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの一般的なセキュリティバグが含まれていることがデミルカピによって発見されました。これらはどちらも1990年代からセキュリティスペシャリストの舌に寄せられてきました。私たちはその存在を何年間も耐えてきました。 本当に Hypercolor Tシャツやフロッピーディスクと同じように、もう遠い思い出になっているはずです。
しかし、そうではありません。また、コードへの導入を止めるほど十分なセキュリティ意識を示す開発者が不足していることは明らかです。スキャニングツールと手動によるコードレビューでできることは限られており、XSS や SQL インジェクションよりもはるかに複雑なセキュリティ上の問題があります。このような場合は、高価で時間のかかるこれらの対策をより有効に活用できます。
ビル・デミルカピのような人々は、より高水準のコードを作成するよう開発者を鼓舞するはずです。彼はわずか17歳で、コードがコミットされる前に探知して修正すべきだった脅威ベクトルによって、トラフィックの多い2つのシステムに侵入しました。
ゲーミフィケーション:エンゲージメントの鍵は?
私は たくさん書いた 開発者がセキュリティにほとんど関与していない理由について、簡単に言えば、セキュリティ意識の高い開発者を育成するために、組織レベルでも教育レベルでもあまり行われていないということです。企業が時間をかけてエンゲージメントに報い、評価するセキュリティ文化を構築すると、開発者の言葉を話し、挑戦し続ける動機付けとなるトレーニングを実施すると、これらの厄介な脆弱性の遺物は私たちが使用するソフトウェアから消え始めます。
Demirkapiは明らかにセキュリティに課外的な関心を持っており、時間をかけてマルウェアのリバースエンジニアリング方法、欠陥の発見方法、そして外部からは壊れていないように見えるものを壊す方法を学んできました。しかし、話しかけると 副官 (そしてDEF CONのスライドを通して)彼は独学について興味深い発言をした... 彼はそれをゲーム化した:
「学校のソフトウェアで何かを見つけることが目標だったので、ゲーム感覚でかなりの量のペネトレーションテストを独学で学ぶことができて楽しかったです」。私はもっと知りたいと思って研究を始めましたが、結局事態は予想していたよりもずっと悪いことがわかりました」と彼は言います。
すべての開発者がセキュリティに特化したいと思うわけではありませんが、すべての開発者にセキュリティ意識を持つ機会を与える必要があります。その基本は、組織内、特に大量の機密データを管理している組織内では、ほぼ「コードのライセンス」の役割を果たします。最も単純なセキュリティホールを、すべての開発者が作成される前に修正できれば、大混乱を引き起こそうとする開発者に対してはるかに安全な立場に立つことができます。
ゲーミフィケーショントレーニングに興味がありますか?「コーダーズ・コンカー・セキュリティー・コンカー・シリーズ」をチェックしてください。 XSS そして SQL インジェクション。
10代のセキュリティ研究者、ビル・デミルカピは、学校で使われているソフトウェアの重大な脆弱性を暴露したことで、確かにいくつかの思い出がよみがえりました。好奇心旺盛な子供の頃、ソフトウェアのボンネットを持ち上げてその内部をのぞき見して、すべてがどのように機能するか、そしてそれを壊すことができたらどうかを確認したのを覚えています。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
10代のセキュリティ研究者、ビル・デミルカピの最近の報告は、 重大な脆弱性の暴露 学校で使っていたソフトで確かに思い出がよみがえったよ好奇心旺盛な子供の頃、ソフトウェアのボンネットを持ち上げてその下をのぞき見して、すべてがどのように機能するか、そしてもっと重要なのは、それを壊すことができたかどうかを見ていたのを覚えています。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を求めてきました。セキュリティコミュニティ(アプローチは少し生意気ですが)は、できれば悪者が同じことをする前に、欠陥や潜在的な災害を発見する上で重要な役割を果たしています。
しかし、ここで問題なのは、彼の発見を受けて、彼が軽微な停学処分を受けたことです。そして、それは彼が会社に連絡するための手段をすべて使い果たした後に初めて起こりました(フォレットコーポレーション)個人的には、最終的に自分自身とシステムを侵害する能力を特定するために、かなり公開された公開方法を選択しました。Follett Corporationに倫理的な警告を繰り返し試みましたが、返答はありませんでした。一方、ソフトウェアは依然として脆弱で、大量の学生データは暗号化されていなかったため、非常に簡単に公開されました。
また、別の会社のソフトウェアであるBlackboardのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が何百万件ものレコードにアクセスして盗み取った可能性があります。このソフトウェアとフォレットの製品はどちらも彼の学校で使われていました。
「邪悪なハッカー」の話には問題があります。
デミルカピは今年の調査結果を発表しました デフコイン、彼のふざけた態度のよりいたずらっぽいディテールが観客の拍手喝采を浴びています。まさにその通りです。フォレット・コーポレーションは、当初はひどい状況に陥り、自分の発見が認められるまでに多くのハードルに直面していましたが、彼の努力に感謝し、彼のアドバイスに基づいて行動し、最終的にソフトウェアの安全性を高め、データ漏えいの別の統計になるという危機を回避したと伝えられています。高校卒業後はロチェスター工科大学にも通うことになるので、需要の高いセキュリティスペシャリストになるための正しい道を歩んでいることは明らかです。
私自身セキュリティ担当者として、この状況がどのように処理されたかに異議を唱えないことは困難です。このケースではすべてが順調に終わりますが、当初、彼は迷惑な台本小僧のように扱われ、本来はふさわしくないところに鼻を突っ込んでいました。Googleでこの事件を検索すると、彼を「ハッカー」と呼ぶ記事があります(セキュリティ素人の考えでは、これは彼をさまざまな意味で悪役として位置付けています)。実際、彼のアプローチ(および他の多くのアプローチ)は、データを安全に保つのに役立ちます。
好奇心旺盛で、賢く、セキュリティに重点を置いた、内部を見通す人材が必要です。そして、それをもっと頻繁に実行する必要があります。7 月現在、 40億件を超えるレコード 今年だけでも、悪質なデータ漏えいの被害に遭っています。8月に発生したファッション・ライフスタイルブランドのデータ流出により、この数字にさらに5,000万件が追加される可能性があります。 ポッシュマーク。
私たちは同じ過ちを犯していますが、さらに心配なのは、多くの場合、顔をしかめるような単純な脆弱性であり、つまずき続けていることです。
クロスサイトスクリプティングと SQL インジェクションはなくなりませんでした。
による報告どおり 有線、BlackboardsコミュニティエンゲージメントソフトウェアとFolletts学生情報システムには、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの一般的なセキュリティバグが含まれていることがデミルカピによって発見されました。これらはどちらも1990年代からセキュリティスペシャリストの舌に寄せられてきました。私たちはその存在を何年間も耐えてきました。 本当に Hypercolor Tシャツやフロッピーディスクと同じように、もう遠い思い出になっているはずです。
しかし、そうではありません。また、コードへの導入を止めるほど十分なセキュリティ意識を示す開発者が不足していることは明らかです。スキャニングツールと手動によるコードレビューでできることは限られており、XSS や SQL インジェクションよりもはるかに複雑なセキュリティ上の問題があります。このような場合は、高価で時間のかかるこれらの対策をより有効に活用できます。
ビル・デミルカピのような人々は、より高水準のコードを作成するよう開発者を鼓舞するはずです。彼はわずか17歳で、コードがコミットされる前に探知して修正すべきだった脅威ベクトルによって、トラフィックの多い2つのシステムに侵入しました。
ゲーミフィケーション:エンゲージメントの鍵は?
私は たくさん書いた 開発者がセキュリティにほとんど関与していない理由について、簡単に言えば、セキュリティ意識の高い開発者を育成するために、組織レベルでも教育レベルでもあまり行われていないということです。企業が時間をかけてエンゲージメントに報い、評価するセキュリティ文化を構築すると、開発者の言葉を話し、挑戦し続ける動機付けとなるトレーニングを実施すると、これらの厄介な脆弱性の遺物は私たちが使用するソフトウェアから消え始めます。
Demirkapiは明らかにセキュリティに課外的な関心を持っており、時間をかけてマルウェアのリバースエンジニアリング方法、欠陥の発見方法、そして外部からは壊れていないように見えるものを壊す方法を学んできました。しかし、話しかけると 副官 (そしてDEF CONのスライドを通して)彼は独学について興味深い発言をした... 彼はそれをゲーム化した:
「学校のソフトウェアで何かを見つけることが目標だったので、ゲーム感覚でかなりの量のペネトレーションテストを独学で学ぶことができて楽しかったです」。私はもっと知りたいと思って研究を始めましたが、結局事態は予想していたよりもずっと悪いことがわかりました」と彼は言います。
すべての開発者がセキュリティに特化したいと思うわけではありませんが、すべての開発者にセキュリティ意識を持つ機会を与える必要があります。その基本は、組織内、特に大量の機密データを管理している組織内では、ほぼ「コードのライセンス」の役割を果たします。最も単純なセキュリティホールを、すべての開発者が作成される前に修正できれば、大混乱を引き起こそうとする開発者に対してはるかに安全な立場に立つことができます。
ゲーミフィケーショントレーニングに興味がありますか?「コーダーズ・コンカー・セキュリティー・コンカー・シリーズ」をチェックしてください。 XSS そして SQL インジェクション。
10代のセキュリティ研究者、ビル・デミルカピの最近の報告は、 重大な脆弱性の暴露 学校で使っていたソフトで確かに思い出がよみがえったよ好奇心旺盛な子供の頃、ソフトウェアのボンネットを持ち上げてその下をのぞき見して、すべてがどのように機能するか、そしてもっと重要なのは、それを壊すことができたかどうかを見ていたのを覚えています。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を求めてきました。セキュリティコミュニティ(アプローチは少し生意気ですが)は、できれば悪者が同じことをする前に、欠陥や潜在的な災害を発見する上で重要な役割を果たしています。
しかし、ここで問題なのは、彼の発見を受けて、彼が軽微な停学処分を受けたことです。そして、それは彼が会社に連絡するための手段をすべて使い果たした後に初めて起こりました(フォレットコーポレーション)個人的には、最終的に自分自身とシステムを侵害する能力を特定するために、かなり公開された公開方法を選択しました。Follett Corporationに倫理的な警告を繰り返し試みましたが、返答はありませんでした。一方、ソフトウェアは依然として脆弱で、大量の学生データは暗号化されていなかったため、非常に簡単に公開されました。
また、別の会社のソフトウェアであるBlackboardのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が何百万件ものレコードにアクセスして盗み取った可能性があります。このソフトウェアとフォレットの製品はどちらも彼の学校で使われていました。
「邪悪なハッカー」の話には問題があります。
デミルカピは今年の調査結果を発表しました デフコイン、彼のふざけた態度のよりいたずらっぽいディテールが観客の拍手喝采を浴びています。まさにその通りです。フォレット・コーポレーションは、当初はひどい状況に陥り、自分の発見が認められるまでに多くのハードルに直面していましたが、彼の努力に感謝し、彼のアドバイスに基づいて行動し、最終的にソフトウェアの安全性を高め、データ漏えいの別の統計になるという危機を回避したと伝えられています。高校卒業後はロチェスター工科大学にも通うことになるので、需要の高いセキュリティスペシャリストになるための正しい道を歩んでいることは明らかです。
私自身セキュリティ担当者として、この状況がどのように処理されたかに異議を唱えないことは困難です。このケースではすべてが順調に終わりますが、当初、彼は迷惑な台本小僧のように扱われ、本来はふさわしくないところに鼻を突っ込んでいました。Googleでこの事件を検索すると、彼を「ハッカー」と呼ぶ記事があります(セキュリティ素人の考えでは、これは彼をさまざまな意味で悪役として位置付けています)。実際、彼のアプローチ(および他の多くのアプローチ)は、データを安全に保つのに役立ちます。
好奇心旺盛で、賢く、セキュリティに重点を置いた、内部を見通す人材が必要です。そして、それをもっと頻繁に実行する必要があります。7 月現在、 40億件を超えるレコード 今年だけでも、悪質なデータ漏えいの被害に遭っています。8月に発生したファッション・ライフスタイルブランドのデータ流出により、この数字にさらに5,000万件が追加される可能性があります。 ポッシュマーク。
私たちは同じ過ちを犯していますが、さらに心配なのは、多くの場合、顔をしかめるような単純な脆弱性であり、つまずき続けていることです。
クロスサイトスクリプティングと SQL インジェクションはなくなりませんでした。
による報告どおり 有線、BlackboardsコミュニティエンゲージメントソフトウェアとFolletts学生情報システムには、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの一般的なセキュリティバグが含まれていることがデミルカピによって発見されました。これらはどちらも1990年代からセキュリティスペシャリストの舌に寄せられてきました。私たちはその存在を何年間も耐えてきました。 本当に Hypercolor Tシャツやフロッピーディスクと同じように、もう遠い思い出になっているはずです。
しかし、そうではありません。また、コードへの導入を止めるほど十分なセキュリティ意識を示す開発者が不足していることは明らかです。スキャニングツールと手動によるコードレビューでできることは限られており、XSS や SQL インジェクションよりもはるかに複雑なセキュリティ上の問題があります。このような場合は、高価で時間のかかるこれらの対策をより有効に活用できます。
ビル・デミルカピのような人々は、より高水準のコードを作成するよう開発者を鼓舞するはずです。彼はわずか17歳で、コードがコミットされる前に探知して修正すべきだった脅威ベクトルによって、トラフィックの多い2つのシステムに侵入しました。
ゲーミフィケーション:エンゲージメントの鍵は?
私は たくさん書いた 開発者がセキュリティにほとんど関与していない理由について、簡単に言えば、セキュリティ意識の高い開発者を育成するために、組織レベルでも教育レベルでもあまり行われていないということです。企業が時間をかけてエンゲージメントに報い、評価するセキュリティ文化を構築すると、開発者の言葉を話し、挑戦し続ける動機付けとなるトレーニングを実施すると、これらの厄介な脆弱性の遺物は私たちが使用するソフトウェアから消え始めます。
Demirkapiは明らかにセキュリティに課外的な関心を持っており、時間をかけてマルウェアのリバースエンジニアリング方法、欠陥の発見方法、そして外部からは壊れていないように見えるものを壊す方法を学んできました。しかし、話しかけると 副官 (そしてDEF CONのスライドを通して)彼は独学について興味深い発言をした... 彼はそれをゲーム化した:
「学校のソフトウェアで何かを見つけることが目標だったので、ゲーム感覚でかなりの量のペネトレーションテストを独学で学ぶことができて楽しかったです」。私はもっと知りたいと思って研究を始めましたが、結局事態は予想していたよりもずっと悪いことがわかりました」と彼は言います。
すべての開発者がセキュリティに特化したいと思うわけではありませんが、すべての開発者にセキュリティ意識を持つ機会を与える必要があります。その基本は、組織内、特に大量の機密データを管理している組織内では、ほぼ「コードのライセンス」の役割を果たします。最も単純なセキュリティホールを、すべての開発者が作成される前に修正できれば、大混乱を引き起こそうとする開発者に対してはるかに安全な立場に立つことができます。
ゲーミフィケーショントレーニングに興味がありますか?「コーダーズ・コンカー・セキュリティー・コンカー・シリーズ」をチェックしてください。 XSS そして SQL インジェクション。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
10代のセキュリティ研究者、ビル・デミルカピの最近の報告は、 重大な脆弱性の暴露 学校で使っていたソフトで確かに思い出がよみがえったよ好奇心旺盛な子供の頃、ソフトウェアのボンネットを持ち上げてその下をのぞき見して、すべてがどのように機能するか、そしてもっと重要なのは、それを壊すことができたかどうかを見ていたのを覚えています。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を求めてきました。セキュリティコミュニティ(アプローチは少し生意気ですが)は、できれば悪者が同じことをする前に、欠陥や潜在的な災害を発見する上で重要な役割を果たしています。
しかし、ここで問題なのは、彼の発見を受けて、彼が軽微な停学処分を受けたことです。そして、それは彼が会社に連絡するための手段をすべて使い果たした後に初めて起こりました(フォレットコーポレーション)個人的には、最終的に自分自身とシステムを侵害する能力を特定するために、かなり公開された公開方法を選択しました。Follett Corporationに倫理的な警告を繰り返し試みましたが、返答はありませんでした。一方、ソフトウェアは依然として脆弱で、大量の学生データは暗号化されていなかったため、非常に簡単に公開されました。
また、別の会社のソフトウェアであるBlackboardのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が何百万件ものレコードにアクセスして盗み取った可能性があります。このソフトウェアとフォレットの製品はどちらも彼の学校で使われていました。
「邪悪なハッカー」の話には問題があります。
デミルカピは今年の調査結果を発表しました デフコイン、彼のふざけた態度のよりいたずらっぽいディテールが観客の拍手喝采を浴びています。まさにその通りです。フォレット・コーポレーションは、当初はひどい状況に陥り、自分の発見が認められるまでに多くのハードルに直面していましたが、彼の努力に感謝し、彼のアドバイスに基づいて行動し、最終的にソフトウェアの安全性を高め、データ漏えいの別の統計になるという危機を回避したと伝えられています。高校卒業後はロチェスター工科大学にも通うことになるので、需要の高いセキュリティスペシャリストになるための正しい道を歩んでいることは明らかです。
私自身セキュリティ担当者として、この状況がどのように処理されたかに異議を唱えないことは困難です。このケースではすべてが順調に終わりますが、当初、彼は迷惑な台本小僧のように扱われ、本来はふさわしくないところに鼻を突っ込んでいました。Googleでこの事件を検索すると、彼を「ハッカー」と呼ぶ記事があります(セキュリティ素人の考えでは、これは彼をさまざまな意味で悪役として位置付けています)。実際、彼のアプローチ(および他の多くのアプローチ)は、データを安全に保つのに役立ちます。
好奇心旺盛で、賢く、セキュリティに重点を置いた、内部を見通す人材が必要です。そして、それをもっと頻繁に実行する必要があります。7 月現在、 40億件を超えるレコード 今年だけでも、悪質なデータ漏えいの被害に遭っています。8月に発生したファッション・ライフスタイルブランドのデータ流出により、この数字にさらに5,000万件が追加される可能性があります。 ポッシュマーク。
私たちは同じ過ちを犯していますが、さらに心配なのは、多くの場合、顔をしかめるような単純な脆弱性であり、つまずき続けていることです。
クロスサイトスクリプティングと SQL インジェクションはなくなりませんでした。
による報告どおり 有線、BlackboardsコミュニティエンゲージメントソフトウェアとFolletts学生情報システムには、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの一般的なセキュリティバグが含まれていることがデミルカピによって発見されました。これらはどちらも1990年代からセキュリティスペシャリストの舌に寄せられてきました。私たちはその存在を何年間も耐えてきました。 本当に Hypercolor Tシャツやフロッピーディスクと同じように、もう遠い思い出になっているはずです。
しかし、そうではありません。また、コードへの導入を止めるほど十分なセキュリティ意識を示す開発者が不足していることは明らかです。スキャニングツールと手動によるコードレビューでできることは限られており、XSS や SQL インジェクションよりもはるかに複雑なセキュリティ上の問題があります。このような場合は、高価で時間のかかるこれらの対策をより有効に活用できます。
ビル・デミルカピのような人々は、より高水準のコードを作成するよう開発者を鼓舞するはずです。彼はわずか17歳で、コードがコミットされる前に探知して修正すべきだった脅威ベクトルによって、トラフィックの多い2つのシステムに侵入しました。
ゲーミフィケーション:エンゲージメントの鍵は?
私は たくさん書いた 開発者がセキュリティにほとんど関与していない理由について、簡単に言えば、セキュリティ意識の高い開発者を育成するために、組織レベルでも教育レベルでもあまり行われていないということです。企業が時間をかけてエンゲージメントに報い、評価するセキュリティ文化を構築すると、開発者の言葉を話し、挑戦し続ける動機付けとなるトレーニングを実施すると、これらの厄介な脆弱性の遺物は私たちが使用するソフトウェアから消え始めます。
Demirkapiは明らかにセキュリティに課外的な関心を持っており、時間をかけてマルウェアのリバースエンジニアリング方法、欠陥の発見方法、そして外部からは壊れていないように見えるものを壊す方法を学んできました。しかし、話しかけると 副官 (そしてDEF CONのスライドを通して)彼は独学について興味深い発言をした... 彼はそれをゲーム化した:
「学校のソフトウェアで何かを見つけることが目標だったので、ゲーム感覚でかなりの量のペネトレーションテストを独学で学ぶことができて楽しかったです」。私はもっと知りたいと思って研究を始めましたが、結局事態は予想していたよりもずっと悪いことがわかりました」と彼は言います。
すべての開発者がセキュリティに特化したいと思うわけではありませんが、すべての開発者にセキュリティ意識を持つ機会を与える必要があります。その基本は、組織内、特に大量の機密データを管理している組織内では、ほぼ「コードのライセンス」の役割を果たします。最も単純なセキュリティホールを、すべての開発者が作成される前に修正できれば、大混乱を引き起こそうとする開発者に対してはるかに安全な立場に立つことができます。
ゲーミフィケーショントレーニングに興味がありますか?「コーダーズ・コンカー・セキュリティー・コンカー・シリーズ」をチェックしてください。 XSS そして SQL インジェクション。
始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
