Secure Code Warrior®のトレーニングプラットフォームを使用するということは、セキュリティをすべてのコーディングソリューションの最前線に置くということです。これは、開発チームが安全なコーディングを行う意味について考える方法を変えることができる、関連スキルとセキュリティ意識の構築に向けた大きな一歩です。
セキュアコーディングの学習に関しては、ガイドを読んだりビデオを見たりするだけでは限界があります。本当のメリットは実践的なトレーニングにあり、Secure Code Warriorプラットフォームが提供するのはまさにこれです。インタラクティブで、有益で、楽しいので、間違いなく役に立ちます。
実際のコーディング環境のように見えるように設計されたSecure Code Warriorプラットフォームは、ゲーム化された学習アプローチを採用しています。プラットフォームでポイントスコアをレベルアップすることは、実生活でセキュアコーディングスキルをレベルアップすることを意味します。
開発者によっては、このようなスキルを身につけることに集中する初めての機会になるかもしれませんし、他の開発者にとっては、以前に検討したことのあるテーマを新たに取り上げることになるかもしれません。いずれにせよ、プラットフォームで得た知識と経験を日常のコーディングに応用することは、プロジェクトの最初から(そして最後まで)安全なコードを提供するための大きな一歩となります。
以下では、トレーニングプログラムのロールアウトの旅に対する私たちの典型的なアプローチと、プログラムのさまざまなフェーズがどのように結びついているかを詳しく説明します。まずは概要をご覧いただき、次に各フェーズの内訳をご覧ください。
どの組織でも同じとは限りませんので、一般的なガイドとしてお使いください。それでは、先に述べた詳細な内訳をご覧ください。
すべての旅はどこかから始まります。Secure Code Warriorの場合、それは意識することから始まります。もうお分かりだと思いますが、私たちと提携することで、あなたの組織でセキュリティ・トレーニング・プログラムを変更したり、実施したりしたいとお考えでしょう。
すでにビジネス上の目標や目的をお持ちかもしれませんが、これから始めようとする方は、これらの目標を検討してみてください:
目標 |
ポジティブなビジネス成果 |
セキュリティ意識の向上 |
セキュリティを意識する文化を構築することで、リスクとセキュリティの脅威を低減する |
持続可能な学習とトレーニング |
従業員の能力と仕事へのやりがいが向上する |
ガバナンスの枠組み |
組織基準の強化 |
持続可能なキャリア開発 |
雇用可能性とブランド・ロイヤルティの向上 |
質の高い人材の獲得 |
優秀な人材の確保と維持 |
コンプライアンス |
コンプライアンス基準への対応 |
通常、開発グループの意識向上を開始するには、最初のステップとして、Secure Code Warrior トーナメントを開催して、新規または刷新のセキュリティ研修プログラムをキックオフします。
トーナメントについて詳しくは を参照してください。
トーナメントは、エキサイティングで、インタラクティブで、競争的なアプローチにより、プラットフォームの力学と設計を紹介するのに役立ちます。また、トーナメントを実施することで、セキュリティへの関心が高まり、トレーニング・プログラムへのユーザー導入がよりスムーズになります。
トーナメントの結果とメトリックスをレビューすることで、開発コミュニティの主要な弱点を特定することが可能になります。また、これらの結果は、開発者が自分のセキュリティ上の長所と短所について非常に貴重なフィードバックを得られるので、開発者は自分のトレーニングが何に重点を置くべきかを正確に知ることができる。
トーナメントはまた、セキュリティ・チャンピオンを特定し始める機会でもあります。
セキュリティ・チャンピオンについてもっと知りたい方は をご覧ください。
最初のトーナメントが終わったら、トーナメントの結果によって明らかになった弱点に基づく評価を作成することを検討するとよいでしょう。これは、最低限のスキルの基準値を定義するプロセスを開始するのに役立ちます。
アセスメントについてもっと知りたい方は をご覧ください。
この時点で、プラットフォームのコース機能を使ってコースを作成することもお勧めします。コースを使用すると、トーナメント、アセスメント、または外部ツールによって特定された主要な弱点に基づいてトレーニングを提供するように設計された言語:フレームワーク固有の学習経路を作成することができます。これは、アセスメントに向けたトレーニングの機会としても活用できます。
コースについて詳しくは、こちらの記事をご覧ください。
ペンテストや静的コード解析ツールで発見された結果とともに、トーナメントやアセスメントから得られた結果を使用することで、組織固有の重要な弱点のリストを定義することができます。あなたの組織や開発グループに特有のを定義するのに役立ちます。
この情報によって、今後のトーナメントやアセスメントとともに、セキュリティトレーニングプログラムを微調整することができ、以下のことが可能になります。 を微調整することができます。を修正することができる。
このフェーズでは、以下の 3 つの最も重要な弱点を特定し、修正する能力に重点を置いてトレーニングに取り組むよう指導する。 最も重要な3つの弱点を特定し、修正する能力に焦点を当てるよう、トレーニングの取り組みを指導する必要があります。
前のフェーズに基づき、組織の上位 3 つの弱点を明確に定義し、その弱点の修正に重点を置いたトレーニ ングを実施するための「コース」を設定した後は、的を絞ったアセスメントを使用して会社の基本水準を 確立する。
こうして新たに確立された基本水準が、既存の開発者及び新たに組織に入ってきた開発者のために維持すべきセキュリティスキル標準となる。 ベースライン評価'.
注意 アセスメントは「テスト」ではないことに注意してください。 テストではないことに注意してください。これは、開発者が自身の進捗を把握するのに役立つと同時に、経営陣がチームの成長とスキルアップの機会を特定する手段としても機能するように設計された、プラットフォームの学習ツールの一部です。
ベースライン・アセスメントに合格すると、開発者は「認定」を受け、その功績を称えることができる。認定といえば、これが次の展開のトピックだ!
認定プログラムの話題は、ロールアウトの旅の少し後に出てきますが、ここにたどり着く前に、どのように見えるかを検討し始めることが重要です。
認証プログラムについての詳細は をご覧ください。
開発者がベースライン・アセスメントに合格すれば、標準的な要件を満たしていると認定されます。命名規則を工夫することもできますが、ここでは "レベル 1「とします。
認定プログラムの背後にある考え方は、あなたの組織が新たに"レベル1認定者「またはベースライン認定「を取得した開発者に、繰り返し学習するパスを定義することです。これは、開発者がプラットフォームを使い続けてスキルを身につけることを奨励すると同時に、どのレベルに到達したいか、そのためにはどのようなステップが必要かという個人的な目標を設定できるようにするものです。
セキュリティチャンピオンプログラムの実施は完全に任意ですが、セキュリティチャンピオンプログラムを活用したトレーニングプログラムでは、より良い結果が得られています。チャンピオンプログラムを実施する場合は、目標と期待を明確に定義してください。
いったん立ち上げ、実行する、チャンピオン・プログラムは、セキュリティ研修プログラム全体と並行して実施する必要があります。の成功に貢献する付加的な機能として実施する。
セキュリティ・チャンピオンに関する詳細情報は を参照してください。
セキュリティ・チャンピオンは、最も上級の開発者である必要も、最も高い得点を持っている必要もない。セキュリティ・チャンピオンは、開発者コミュニティをサポートし、励まします。
前述したように、トーナメントを前にして、あなたはすでに何人かの候補者に気づいているはずだ。その役割を果たすことに興味がある開発者がいたら、募集をかけることを考えてみてください。そうすることで、候補者が完全に参加し、サポートに対応できるようになります。
チャンピオンの人数は組織の規模や要件によって異なるが、セキュリティチャンピオンの強固なネットワークは、開発チーム内の積極的なセキュリティ文化への転換を促進し、トレーニングプログラムを次のレベルに引き上げるのに役立つ。
トーナメントに話を戻すと、トーナメントを「キックオフ」だけと見なさないことが重要である。キックオフのみ'イベントと見なすべきではないということです。実際、私たちは、トーナメント・プログラムやスケジュールを作成し、ビジネス目標に沿った定期的または重要な間隔で開催することを推奨しています。
トーナメント・プログラムを構築するための推奨事項については こちらの記事をご覧ください.
セキュリティ・チャンピオン・プログラムと同じように トーナメントプログラムも、セキュリティ研修プログラム全体の実施期間中、すべての研修と並行して実施する必要があります。も成功の原動力となる。
定期的にトーナメントを開催することで、より多くの開発者に参加するチャンスが与えられます。開発者がトーナメントの経験を積み、トレーニングでより多くのポイントを獲得するようになれば、トーナメントの難易度を上げることができます。(完了までの時間を短くしたり、ヒントを与えたりします)。
トーナメントのプレーオフは、継続的なトーナメントプログラムを構築するための一般的な方法であり、当社の最も多忙なクライアントでは、開発チーム全体の継続的なトレーニングへの参加率が高くなっています。
注:トーナメント・プレーオフの実施に関する情報は こちらをクリックしてください。
次のステップ
多くの情報が必要であったことは承知していますので、より明確にするために、関連する多くの構成要素を個別の記事に分けました(しかも、この記事ほど長くはありません。(この記事ほど長くはありません。)
コメント
0件のコメント
サインインしてコメントを残してください。