Menu

    OWASPトップ10脆弱性啓発のレベルアップ

    Avatar
    Secure Code Warrior Elves
    • 更新
    フォローする

    組織の OWASP Top10 脆弱性に対する認識を高めることは、常に良いことです。OWASP Top 10 は、SCW プラットフォームの中でトレーニングのガイドラインとして使用することはできますが、セキュリティ・トレーニング・プログラム全体の決定的な特徴である必要はありません。

    OWASP Top 10 に取り組むだけでなく、組織内の特定の弱点に焦点を当てたトレーニングプログラムをカスタマイズすることもできます。実際、Secure Code Warrior®プラットフォームの利用価値を最大限に引き出すために、この方法をお勧めします。

    自社のアプリケーションの開発セキュリティ・スキルを向上させるという嬉しい副次的効果とともに、これを迅速に実行するのに役立つ方法がいくつかあります。

    トーナメント

    トーナメントは、より良い知識の定着とトレーニングへの興奮を促進する前向きな学習体験を構築する上で、大きな助けとなる。トーナメントを実施するのは、セキュリティ意識向上トレーニングの開始時だけではありません。

    トーナメントを活用する

    • 特定の会社やチームの脆弱性を定義する
    • 開発者グループ内のセキュリティチャンピオンを特定する
    • 開発者の長所と短所をフィードバックする
    • チームビルディングの練習になる
    • 特定のセキュリティ上の弱点に対処するための楽しさと競争意識を醸成する

    一般に、課題は、OWASP トップ 10、または、会社固有のセキュリティの優先事項(もし知っていれば)に基づく。 まだ把握していない場合は、大会の結果に基づいて、特定のアプリケー ションや言語など、会社固有の弱点を示すパターンがあるかどうかを判断することができる。これによって、トレーニングプログラムをどこから構築していけばいいのかが見えてくるはずだ。

    トーナメントのもうひとつの利点は、誰でも参加できることだ。開発チームだけである必要はない。組織内の誰もが、安全なコードを構築するためにどれだけのことが行われているのかを知ることができる絶好の機会なのだ。コードに触れる機会が限られている人でも、一般的な脆弱性に取り組み、その対処法を学ぶ機会を持つことができる。

    セキュリティチャンピオン

    セキュリティ・チャンピオンは、開発チーム内で前向きなセキュリティ文化を促進するのに役立つ。すべての企業がチャンピオン・プログラムを実施するわけではないが、実施した企業では、より強力な成果が得られることが分かっている。ただ、それだけです。

    では、セキュリティ・チャンピオンとは何か。セキュリティ・チャンピオンとは

    • セキュリティに情熱を持っている
    • 新しい業界知識の共有に熱心
    • コミュニケーション能力が高い
    • セキュアなコーディングスキルを身につけることに関心がある(自分自身と他者)
    • 次のような人 こんな人ステップアップして評価を得たい人

    このようなスーパースターは、すでに開発チームの中にいて、発掘されるのを待っている。

    :このような方は、チームマネージャーまたは管理者に連絡して、自分がどのように貢献できるかを学んでください。アプリケーション・セキュリティに変革をもたらしましょう!

    トーナメントは、チャンピオンを明らかにし、仲間をやる気にさせるだけでなく、リーダーボードで自分のセキュリティ能力を示す機会を与えることもできます。

    特に強力な開発者やセキュリティに熱心な開発者に気づいたら、セキュリティチャンピオンになることを打診することを検討してください。

    セキュリティチャンピオンは、セキュアなコーディングスキルのレベルアップにおいて、次のような貴重な役割を果たします:

    • チーム内の脆弱性の特定を支援する
    • 仲間にトーナメント、トレーニング、評価に参加するよう促す。
    • チームからのフィードバックを求め、プログラムリーダーに報告する。
    • ミニトーナメントを実施し、チームベースのセキュリティ優先事項に焦点を当てる

    強固なセキュリティチャンピオンが参加することで、誰もが、最も重要な現場レベルでのエンゲージメントが向上し、全体的なセキュリティの積極性が高まることを期待できる。

    重要な言語によるゲーム化された対話型トレーニング

    開発者は、優れた機能的ソリューションを提供しなければならないというプレッシャーに常にさらされている多忙な人々です。安全なコーディングは大好きですが、開発者が技術を習得する際に教えられることはあまりありません。私たちは、競争的で、インタラクティブで、楽しいトレーニングのアプローチで、セキュリティ意識を1つずつ変えていくことを目指しています。

    最も効果的な学習プラットフォームの中には、ポイントを獲得したり、バッジを集めたり、リーダーボードのトップに立つといったおなじみの要素をゲーム化したものがあります。

    トレーニング・プラットフォームは、特定のスキルに焦点を当てると同時に、開発者に継続的な学習を促し、安全なコーディングの考え方を採用する方法を示す必要がある。

    • 開発者は、実際のコードや自分の言語/フレームワークで作業できるべきである。
    • 課題は短く、すべての脆弱性をカバーすべきである。
    • 開発者が時間をかけてスキルを構築し続けることができるように、課題は常に拡張され、更新されなければならない。
    • 上級の開発者にとっても経験の浅い開発者にとっても魅力的であるように、課題は複雑さを変えなければならない。
    • 開発者と管理者は、完了した課題、長所と短所、トレーニングに費やした時間、全体的な精度などの進捗状況を確認できる必要があります。

    Secure Code Warriorプラットフォームには、OWASPトップ10が含まれており、最も重要な脆弱性から非常に一般的な脆弱性まで、より具体的な内訳とともに4つのセクションに分かれている。

    開発者にとって、トレーニングはスキルアップに貢献する真の重要な要素である。その ミッション・コントロール セクションには、さまざまな言語を使ってトレーニングする方法があり、さまざまな脆弱性のタイプに対応している。

    関連記事

    コメント

    0件のコメント

    サインインしてコメントを残してください。