トーナメント、コース、およびアセスメントを使用して、開発チームの最低限のスキル標準を設定したら、成 熟したセキュアコーディングプログラムの次のステップは、認定プログラムを作成することです。
認定とは、特定のスキルセットや経験によって定義される一連のレベルを社内に設けることです。これは、開発者に目標を設定し、それを達成した場合に相応の評価を与える方法です。
認定レベルの決定
認定プログラムを構築する最初のステップは、認定レベルの命名規則を決めて、プログラムのメッセージングを構築できるようにすることです。
いくつかのアイデアを検討してください:
- レベル
- ランク
- ベルト(空手の帯の色をイメージ)
- ステージ
- メダル(プラチナ、ゴールド、シルバー、ブロンズ)
このために創造的なことをすることもできるが、重要なのは、新しく''ベースライン認定者''になるための反復可能な学習経路を敷くことである。 ベースライン認定開発者がたどることができるようにすることだ。
ベースラインを決めることが第一段階です。この記事では「レベル」とします。ベースラインに合格した人は全員 レベル1またはそれに相当する認証プログラムとみなされます。
明確に定義された認定プログラムは、開発者がSecure Code Warrior®プラットフォームを使い続け、さらなる認定を得ることを視野に入れてスキルを身につけることを促します。(たとえば レベル2認定)
スキルの構築とさらなる向上
ベースラインから先に進み、開発者が次のレベルの認定を目指すことで、自分自身とチームのレベルアップを支援することが目標です。 あるレベルから次のレベルへ移行するために、一定の基準を満たすように設計された「認定アセスメント」を作成することを検討する。
これらの「認定アセスメント」は、次のようなものでなければなりません:
- 一般的な評価や基本的な評価よりも難易度が高い
- リトライが制限されている、またはリトライがない
- 認定基準を満たす課題を含む(組織による)
注:アセスメントの詳細については、アセスメントモジュールの概要の記事をご覧ください。
以下は、推奨されるクラス最高の認定プログラムの構成です。 表で概要を確認してから、各レベルの詳細をご覧ください。
レベル1 | レベル2 | レベル3 |
業界または SCW 推奨の上位 2~3 脆弱性 | 業界または SCW 推奨の残りの範囲 | 業界または SCW 勧告を超える完全なコンセプトのカバー - 一般的でない、より難解なセキュリティ問題や、以前のトピックを再検討する上級モジュールも含む。 |
すべてのコードリポジトリにアクセスできるようにするための最小要件である。 | これは、会社のベースラインとして周知される。 |
これは、セキュリティチャンピオンのために伝えられます。 また、新規アプリケーションの脅威モデリング演習への参加や指導、セキュリティ成熟度の低い開発者の指導など、このレベルを満たすための追加的なセキュリティタスクも含めることが推奨される。 |
修了が必須である |
任意で完了させるが、キャリアアップ、認定証、 ボーナス、表彰を通じてインセンティブを与え る。 組織が成熟するにつれて完 了が義務付けられる |
レベル 2 と同様のインセンティブを与える |
認定レベル 1
これは、すべての開発者が最低限到達すべきスキルの基本要件であり、非常に重要である。この資格の焦点は、様々なアプリケーショ ンにわたって、特定の組織に影響を及ぼしている主要なセキュリティ上の弱点を特定し、修正することである。
例:もし、会社特有の重要な弱点が 10 個あるとすれば、最低限のスキルには、それらの脆弱性のうち 3~5 個を特定し、修正することを含めることができます。
これは、開発者の日々の役割に役立つ、非常に具体的な学習につながります。この認定レベルに到達するためには、以下の要件を考慮してください:
- コースを選択制にし、アセスメントを必須とすることで、ユーザがすでにその内容を知っているかどうかをテストできるようにすること。
- アセスメントで合格率 70%を達成すること。
レベル 1」または「License-to-Code」認定の背景にある考え方は、すべての開発者が達成可能であるということです。これは、セキュリティ意識のレベルが異なることや、組織に参加したばかりの新人や若手の開発者が、チームが扱う特定の重要な弱点について事前の知識を持っていないことを念頭に置いています。
認定レベル 2
この頃までには、開発者は会社やチーム固有の重要な弱点にすべて対処できるようになっているはずです。レベル 2 "または Company Baseline のために物事をオープンにし、業界または SCW が推奨する残りの脆弱性を特定し、修正することに集中してください。この教育は、開発者により多くの学習とスキルアップの機会を提供し、より広範囲に及ぶ傾向があります。
この認定レベルでは、シニア開発者がすでに同業者に対してある程度のメンターシップを提供しているため、何人かのシニア開発者を見かけるかもしれません。
レベル 2」の推奨要件は、「レベル 1」と同様です:
- コースの受講は任意とし、評価は必須とすることで、ユーザーがすでにその内容を知っているかどうかをテストできるようにします。
- レベル2アセスメントで70%の合格率を達成すること。
このレベルへの昇格は、すぐに、あるいはまったく必要ないというわけではありません。開発者ごとにトレーニングに割ける時間は異なるので、それを念頭に置くことが重要です。
認定レベル 3
セキュリティチャンピオンになることを意味する「レベル 3」認定を受けるためには、開発者はさらに進歩することに興味を示す必要があります。スキル的には、業界や SCW が推奨する脆弱性だけでなく、あまり一般的でない、より難解なセキュリティ問題を特定し、修正することができなければなりません。
このような開発者は、コーディングのセキュリティを検討する新しい方法を見つけたり、周囲の人と知識を共有したりすることに非常に興味を持つでしょう。また、セキュリティチームの延長として、安全なコードが本番環境にプッシュされるように、さまざまなセキュリティタスクを支援します。
この認定レベルに到達するには、以下の要件を考慮する:
- あまり一般的でない脆弱性と、業界または SCW が推奨する脆弱性に関する高度なモジュールの両方をカバーするコースを受講することが必須である。
- アセスメントも必須であること。
- セキュリティチャンピオンが、脅威のモデリング、セキュリティテストの主導など、セキュリティタスクに関与する セキュリティチャンピオンがセキュリティレベルの低い成熟した開発者を指導するメンタープログラムを作成する
どの程度の認定が必要か
すべての開発者に「レベル 3」の認定を取得させたいと思うのはやまやまだが、実際には、すべての人のワークスタイル、企業規模、採用率に適合するとは限らない。認定レベルが高くなると、より人間重視の職務に傾くことが多い一方、開発やコーディングにより情熱を傾ける開発者もいます。
認定プログラムの良い点は、開発者がいつどのようにスキルを身につけ、個々の成長の機会を求めるかを選択できることです。
開発者のほとんどは「レベル1」または「レベル2」であり、これはまったく問題ありません。チーム内にさまざまなレベルが混在していることは、スキルの多様性を促進するのに役立ちます。このようなレベルの開発者のセキュアコーディングスキルや意識は優れており、認定プログラムと並行して開催されるトーナメントやその他のイベントを通じてSecure Code Warriorプラットフォームでスキルアップすることで、さらに向上していきます。
認定プログラムの目標は、高く評価された開発者を確保するだけでなく、開発者がその一員になりたいと思うような積極的なスキル構築の文化を作ることに手を貸すことです。
コメント
0件のコメント
サインインしてコメントを残してください。