ガートナーは、2022年までにAPI攻撃が最も一般的な攻撃ベクトルになると正しく予測していました。過去1年間だけで、API攻撃トラフィックは681％という驚異的な増加を記録しています。

セキュリティを向上させるには、API を人間のユーザーのように扱い、固有の欠陥や脆弱性から保護する必要があります。開発者コミュニティは、その取り組みを主導できる独自の立場にあります。

‍

ですから、ソフトウェア開発とセキュリティにおいて私たちが直面している課題の1つは、過去20年間、同じまたは現在のソフトウェアの脆弱性が見られてきたことだと思います。静的コード分析を使用しているか、脆弱性評価を使用しているか、ペネトレーションテストを使用しているかにかかわらず、同じ問題がさまざまなテクノロジーやコードのさまざまな部分で繰り返し発生しています。

そして、私たちが抱えている2つ目の課題は、静的コード分析を使用しているか、脆弱性評価やペネトレーションテストを使用しているかにかかわらず、これらのテクノロジーは問題を指摘するだけであり、実際的なハンズオンソリューションや修正方法を提供していないことが多いということです。そして、それこそが、私たちが対応策から予防に移行する必要がある理由の一つは、ソフトウェア・セキュリティ問題の再発を防ぐだけでなく、ソフトウェア開発サイクルにおいて問題を非常に迅速に解決したいと考えているからだと思います。

Secure Code Warriorで私たちが本当に目指していることの1つは、開発者の開発プロセスとツールに統合することです。なぜなら、私たちはそのソフトウェア開発者との関連性が高く、状況に応じたものにしたいからです。私たちは、彼らが実際の問題について指導し、導く手助けをしたいと思っています。その一例が、チケットシステムへの統合です。静的コード分析ツールによるものであれ、ペンテストに関するものであれ、セキュリティのバグが報告されたときには、関連するコーディングパターンと、特定のコーディング言語でこの問題を迅速に修正する方法についての情報を提供する開発者と一緒にいたいと考えています。そうすることで、私たちは本当に状況に即したものにし、開発者が実際にそれを必要としているときに、その場にいるようにしたいと考えています。senseiのようなテクノロジーでは、開発者の IDE の内部でコンテクストに対応したいのです。また、新入社員や若手開発者がセキュリティの脆弱性につながるようなコーディング手法を作成したり使用したりしていることに気付いたら、実際にその場にいて、問題を検出してその場でトレーニングするだけでなく、問題を迅速に修正する方法についてのガイダンスを提供したり、IDE内でコードを自動的に書き換えたりできるようにしたいと考えています。そうすることで、コンテキストの関連性が高まり、チーム内で安全なコードを修正して作成する方法について、開発者が独自のコーディング言語でソリューションを提供したいと考えています。

したがって、私たちの究極の目標は、開発者のDNAにセキュリティを組み込むことです。私たちは左にシフトしたくありません。左から始めています。私たちは開発者を助け、最初から安全なコードを書けるようにしたいと思っています。だからこそ、私たちは、開発者が使うコーディングと言語に特化した、実践的なゲーム化や楽しい学習体験を提供する環境を構築しています。なぜなら、開発者が安全なコードを迅速に記述できるように、セキュリティを開発者にとって構築しやすく、ポジティブで楽しい体験にしたいからです。

では、なぜ開発者はセキュア・コード・ウォリアーを気に入っているのでしょうか。まず第一に、私たちは基本的に彼らが独自のコーディング言語とフレームワークでスキルを向上させるのを助けるので、あなたがreactでコーディングしているフロントエンド開発者であろうと、Javaやswiftをやっているモバイル開発者であろうと、あるいはCOBOL、RPG、またはJavaとC #に焦点を当てているオールドスクールデベロッパーであろうと、私たちは基本的にあなたの特定のコーディング言語とフレームワークでコンテンツのライブラリを構築しましたので、私たちは基本的にあなたの特定のコーディング言語とフレームワークでコンテンツのライブラリを構築しました。そうすれば、私たちはあなたが実践的な方法で理解し、理解できるように支援することができますセキュリティを怖くなく、学ぶのが本当に楽しいものにしてください。

The concept of “shifting left” has been part of the cybersecurity industry discourse since the early 2000s. First rising to prominence as part of evolving Agile, followed by DevOps, development methodologies, the looming threat of large-scale cyberattacks necessitated a defense strategy as the world’s digital footprint grew.

Still, approaching twenty years after the “shift left” movement promised to revolutionize secure software delivery, we still face a deluge of insecure code, low levels of organizational security awareness, and subsequent cybercrime that escalates in volume and potency year-on-year. By 2025, it is estimated that cyberattacks will cost the world $10.5 trillion USD annually.

An ever-widening cybersecurity skills chasm has ensured we have been low on experienced security personnel for quite some time, and despite being a critical pain point for most security leaders and CISOs, we simply cannot afford to wait patiently for a miracle change in circumstance. The current approach is flawed, and we need to revitalize and utilize the resources we have right in front of us, and truly, relief is possible in the form of security-skilled developers.

In this white paper, security expert and Secure Code Warrior CTO & Co-Founder Matias Madou, Ph.D. will discuss:

• The six pillars you need to roll out effective security education and enablement for your development cohort.
• Lessons learned from ten executives implementing security programs at the enterprise level.
• Common pitfalls to avoid on your road to success.

‍