Secure Code Warrior® トーナメントを実施した後、あるいは、他のコード分析・レビューツールを使用した後、その結果は、開発チームやアプリケーションチーム内のセキュリティ意識のギャップを示します。
これは、アセスメントを作成する前に知っておくとよいことです。一般に、カスタマイズされたトレーニングやアセスメントの課題によって、上位数点の弱点に対処したいと考えるからです。
また、アセスメントは、セキュアコーディングスキルをベンチマークし、新卒者、請負業者、新規採用者、社内開発者の認定レベルを構築するための優れた方法です。
ステップ1
アセスメントをクリックします。 アセスメント をクリックします。
初めての場合は 評価の作成ボタンをクリックします。
ツアーを開始するには、プロンプトが表示されたら、今すぐ開始 をクリックします。
このページにすでに評価のリストがある場合、「評価の作成」ボタンをクリックします。 評価の作成ボタンをクリックして、新しいアセスメントの作成を開始します。
ステップ 2
名前、説明を与え、適用可能なプログラミング言語/フレームワークを設定します。
ヒント:評価を簡単に管理およびレポートするために、日付、目的、目標、またはプログラムを含む命名規則を決定することをお勧めします。
名前
評価に名前をつけます。時間が経つにつれていくつか作成することになるでしょうから、記録しやすいもの、または特定の時期に関連するものが理想的です。
説明
次に、開発者に評価がどのようなもので、何をカバーするかを知らせるために、短い説明を書きます。この部分は簡単な紹介文のようなものだと考えてください。
ステップ 3
詳細オプションをクリックして、セキュリティプログラムの目的に合うようにアセスメントを設定してください。
- スケジュールオプション- 完了日と期限を設定します。
- キックオフ大会後の最初のアセスメントについては、3 カ月間空けることを推奨します。こうすることで、開発者がアセスメントを完了する時間を確保し、また、スキルの基準値を設定して作業を開始することができます。 - 招待オプション - いつ招待を送るか、開発者が自分でアセスメントを開始できるか、あるいはアセスメントに再挑戦できるかどうかを選択します。
- チャレンジオプション -チャレンジの回数を固定するか、新しい SCW ユーザのアセスメントガイドを切り替えるかを選択します。
- 合否オプション - 合格最低点を設定します。
- LMS統合 - LMSにインポートできるSCORMパッケージのダウンロードを有効にする場合、トグルをオンにしてください。
ステップ 4
次に、このアセスメントがカバーする言語/フレームワークを選択します。
ヒント各言語/フレームワークは特定の脆弱性の影響を受けやすかったり受けにくかったりするため、可能性のある課題と脆弱性の選択肢を最大化するために必要な言語のみを選択することをお勧めします。
Secure Code Warriorのすべての言語は"OWASP ready."私たちが新しい言語と課題をリリースするときには、必ずそれに対応するテンプレートがあります。しかし、各言語はユニークであるため、OWASP関連の資料もすべて異なるため、テンプレートは利用できないかもしれません。
評価が誰に対して行われるかを意識している限り、問題ないでしょう。例えば、JavaScriptとPythonの開発者を同じアセスメントに参加させることはないでしょう。なぜなら、この2つの言語はそれぞれフロントエンドとバックエンドであるため、テンプレートが異なるからです。
ステップ5
希望するプログラミング言語/フレームワークを選択すると、該当するアセスメントテンプレートがリストアップされます。
あらかじめ構築されたアセスメントテンプレートから選択するか、脆弱性のカテゴリ、サブカテゴリ、難易度を選択して独自のテンプレートを構築します。チャレンジの難易度やカテゴリなどを変更するオプションもあります。
以下は、テンプレートを使用した言語の例です。
- アセスメントに選択された言語によって、利用可能なテンプレートがある場合とない場合があります。
- アプリケーションの種類を混ぜると、利用できる課題の数が減ることがあります。
自分で作成する
先に進み、「+ 課題を追加」ボタンをクリックして、アセスメントの構成を設定します。
ステップ6
完了したら、「Save 」ボタンをクリックして、アセスメントを公開します。
次のステップ
コメント
0件のコメント
サインインしてコメントを残してください。