2021年12月
新着情報
-
コースのテンプレート
-
プログラム認定レベル 4 (ミッション付き)。 (CONTENT)
OWASP 1-5 に焦点を当てた内容(ウェブ言語の OWASP 2021 に基づく)。 -
- OWASP TOP 10 Awareness
- OWASP TOP 10 Awareness 2021
- SCW Recommendations 以下のコーステンプレートで C/C++ Embedded がサポートされました。
-
プログラム認定レベル 4 (ミッション付き)。 (CONTENT)
-
- 次の脆弱性をカバーする 3 つの新しいビデオ。ビデオは、例と解決策とともに、高いレベルで脆弱性のサブカテ ゴリを説明します。(内容)
- 認証 - 一要素認証の使用
- サイドチャネルの脆弱性 - URLのキャッシュ
- サイドチャネルの脆弱性 - 第三者へのデータ送信
- 次の脆弱性をカバーする 3 つの新しいビデオ。ビデオは、例と解決策とともに、高いレベルで脆弱性のサブカテ ゴリを説明します。(内容)
-
統合:
- 開発者の継続的な学習を可能にする Azure BoardsAzure Boards は、チームによる作業の計画、追跡、および議論を支援するタスク追跡ツールです。
- VisualStudioマーケットプレイスからプラグインをダウンロード こちら。 (インテグレーション)
- 開発者の継続的な学習を可能にする Azure BoardsAzure Boards は、チームによる作業の計画、追跡、および議論を支援するタスク追跡ツールです。
-
-
Klocwork(Perforce)は、C、C++、C#、Java、JavaScript、およびPython用の最も信頼性の高い静的コード解析およびSASTツールの1つです。企業のDevOpsとDevSecOpsのために構築されたKlocworkは、あらゆる規模のプロジェクトに対応し、大規模で複雑な環境や幅広い開発者ツールとシームレスに統合します。 Perforce Klocwork Integrationの詳細はこちら。 (INTEGRATIONS)
- Perforce blog: 高品質でセキュアなコードはKlocwork + Secure Code Warriorから始まる|Perforce Software.
-
Klocwork(Perforce)は、C、C++、C#、Java、JavaScript、およびPython用の最も信頼性の高い静的コード解析およびSASTツールの1つです。企業のDevOpsとDevSecOpsのために構築されたKlocworkは、あらゆる規模のプロジェクトに対応し、大規模で複雑な環境や幅広い開発者ツールとシームレスに統合します。 Perforce Klocwork Integrationの詳細はこちら。 (INTEGRATIONS)
-
- Hdiv セキュリティ Hdiv Security は、ソフトウェアライフサイクル(SDLC)の全段階にネイティブに統合された継続的なセキュリティを提供し、アプリケーションセキュリティを自動化します。Hdiv の統合アプリケーションセキュリティプラットフォームは、セキュリティの脆弱性を正確に検出し、アプリケーション、マイクロサービス、API を、設計上の欠陥と見なされるものも含め、広範な攻撃や悪用から保護します。 HdivIntegrationの詳細については、こちらをご覧ください。 (INTEGRATIONS)
インプルーブメント
-
新規および更新された課題: 内容
- Python Flask: 中難度チャレンジの追加 - 93チャレンジ (▲28)
- C++ embedded: - 50チャレンジ (▲20)
- Java:Spring - 522チャレンジ (▲17)
- コンテンツの質の向上:Java:Springの30課題からスタートし、コンテンツの品質向上への終わりなきコミットメントを強化しました。 コンテンツ
2021年11月
新機能
-
コースのチュートリアルとミッション (プラットフォーム)
- ミッションとウォークスルーにより、開発者は、 脆弱性 と実際のシステム上で対話し、それに対するテストを行うことで、不適切なコーディングプラクティスの影響を確認することができます。
-
- 今月のリリースでは、19のウォークスルーと50のミッションから始めることができます。対象となる脆弱性と言語:フレームワークの詳細については、 Walkthroughs and Missions のヘルプ記事を参照してください。
- ウォークスルー・ミッション を試して、すぐにその動きを見てください。これは、10 月 4 日に Apache によって発表された最新の Path Traversal 脆弱性(CVE-2021-41773)のウォークスルーです (内容)。
変更点
-
新しいチャレンジと更新されたチャレンジ(コンテンツ)
- Python Django - 234 課題 (▲15)
- タイプスクリプト - 28課題 (▲8)
-
アクセシビリティ(プラットフォーム)
- ボタンやラベルなど、プラットフォームの主要な要素の色のコントラストは、AAアクセシビリティ基準に適合するように改善されました。
-
SCW API:(統合)
- APIエンドポイントは、メールアドレスとuser_idの両方の主要なユーザー識別子を含むようになりました。これにより、API呼び出し側が様々なAPIエンドポイントでユーザーのアクティビティを照合する必要がある場合に、一貫性と利便性が向上します。
2021年10月
新しい
-
最近リリースされた OWASP Top 10 2021 ウェブ標準 を含む新しいテンプレートを追加し、開発者が最新のトレーニングを受けられるオプションを提供しました。 (コンテンツ)
- コース - OWASP Top 10 Awareness テンプレートは、最新の OWASP Top 10 2021 Web 標準と他の最新標準をサポートします:OWASP Top 10 2016 モバイル標準と OWASP Top 10 2019 API 標準。
-
- アセスメント - 「OWASP Top 10 Web」テンプレート:C# (.NET) MVC, C# (.NET) Web Forms, Java Enterprise Edition (JSP), Java Spring, JavaScript Node.js (Express), Python Django, Salesforce Apex。
- SSO 構成における SAMLRelayState リダイレクトのサポートを追加しました。このアップデートを活用することで、プログラム管理者は、特定のコースまたはアセスメントと内部ツールを大規模に接続することができます。この構成は、私たちの最大のクライアントの1社によってテストされ、20,000人以上の開発者が、既存の学習管理システムから SCWコース やアセスメントにアクセスする際に、シームレスなSSOログインを可能にしました。 この構成の詳細については、こちらをご覧ください。(インテグレーション)
改善点
- 課題を追加しました。
- C:Embedded - 51 (▲33)
- Javascript:Node.jsのAPI - 43 (▲8)
- Python:基本 - 53 (▲15)
-
世界大会(Devlympics 2021)のための特別なInfrastructure-as-Code(IaC/cloud)の課題を追加しました。これらの新しいチャレンジはデブリンピック後も プラットフォームで利用可能ですのでご安心ください: (コンテンツ)
- CloudFormation - 42 (▲5)
- テラフォーム - 51 (▲4)
- Kubernetes - 49 (▲2)
- コースUXの改善。大規模なCoursesの管理体験を継続的に改善しています。 (プラットフォーム)
-
コース管理ページ内に、参加者の編集をより簡単にするため、
- 「参加者管理」ボタン(以前は各コース編集ページ内にありました)を追加しました。
- 「その他」内に「公開(公開解除)」オプションを追加しました。
-
コース管理ページ内に、参加者の編集をより簡単にするため、
-
-
- 各コース編集ページに「編集モードに入る」モーダルを追加し、編集への影響とオプションをより分かりやすくしました。コースを編集する場合、このボタンをクリックしてください。クリック後、モーダルがポップアップし、参加者への影響と編集できる内容 (コースのステータスによる) を説明します。 - コースが公開されている場合でも、バッジおよび通知設定をサポートしました。
-
2021年9月
新機能
-
新しい言語:フレームワーク: (コンテンツ)
- 組込みシステムのためのC++が利用可能になりました - 30チャレンジ。
- 組込みシステム用Cはコースでのみ利用可能 - 18チャレンジ。
- RPG:ベーシック - 18チャレンジ。
-
3つの新コーステンプレート内容
- セキュリティ入門101:このコースは、ソフトウェアセキュリティと最も一般的な脆弱性についてユーザーを紹介するビデオとスターターレベルの課題があらかじめ用意されています。モジュールには以下が含まれます:アプリケーション・セキュリティの概念、Webアプリケーション・セキュリティ101、脅威モデリング。
-
認定プログラムレベル1、レベル2、レベル3 (プログラム・イン・ボックス)、現在OWASPウェブ言語とフレームワークをサポートしています:
- OWASP1-5 - 認定プログラムレベル1 OWASPカテゴリ1から5までの脆弱性をカバー - 初級レベル、
- OWASP6-10 - 認定プログラムレベル2 OWASPカテゴリ1から5までの復習とOWASPカテゴリ6から10までの脆弱性をカバー - 初級レベル。
- OWASP & SCW recommendations - Certification Program level 3 OWASP カテゴリー 1 から 10 の総まとめと、SCW が推奨する追加カテゴリー - 中級レベル。 - EO-Critical Software" Use Under Executive Order (EO) 14028 - このコースは、2021 年 5 月 12 日の国家のサイバーセキュリティの改善に関する大統領令(EO)14028 によって指示された、EO-Critical Software 使用のためのセキュリティ対策に関する国立標準技術研究所(NIST)のガイダンスに基づいています。以下の言語グループのサポートを含みます:Web、API、Infrastructure as Code(IaC)、モバイル。
改良点
- 課題の多様性を向上させ、コンテンツの繰り返しを減らすことを目的として、4つの言語により多くの課題を追加: (CONTENT)
- Terraform - 47チャレンジ(▲12)、新しいチャレンジは、Terraform周辺のコンテンツの脆弱性と難易度のカバレッジを拡大します。
- Java:Spring - 505課題(▲10)。
- PseudoCode:Basic - 175課題(▲11)。
- Java:Basic・・・80課題(▲15)。
- コース管理ナビゲーションの改善: (PLATFORM)
- 画面下部に新しいナビゲーションボタンを追加しました - コース作成プロセスにおいて、コース管理者に明確な指示を提供します。
- パンくずリストがコンテンツ、参加者、設定に分割されたタブに変更されました。
- セットアップウィザードから「言語の追加/削除」機能が削除されました。特定のコーステンプレートでサポートされている言語は、画面の左側の列に表示されるようになりました。
- 新しい「コースステータス」インジケータにより、ユーザはコースのステータスをよりよく把握することができます:
- コース作成から「キャンセルして終了」(コースに名前を付けて保存するよう促されます)
- 「下書き保存」ボタンおよび「最終保存」インジケータにより、ユーザは前回コースが保存されたことを確認することができます。
-
Secure Code Warrior for GitHub は、 プルリクエストのレビューコメントで文脈学習をサポートするようになりました。このプラグインは、利用可能な場合、ユーザーまたはSASTツールによって追加されたコメントで、一般的な脆弱性の参照と名前をスキャンして、関連する学習コンテンツを表示します。 (統合)
2021年8月
新機能
- Kondukto との統合が開始されました。AppSec Orchestration and Correlation プラットフォームである Kondukto は、様々な商用およびオープンソースのセキュリティツールを介して、SDLC の各段階で発見された脆弱性の統一されたビューを提供します。この統合は、検出された脆弱性に基づく超関連学習へのリンクを支援する。 (統合)
改善
- コース (プラットフォーム)については、いくつかの経験的な機能強化が完了しました。
- ビデオのカテゴリとサブカテゴリが追加され、脆弱性が属するカテゴリが再表示されるようになりました。
-
- ウィザードナビゲーションが更新され、管理者がコースを簡単に設定できるように、わかりやすい手順が追加されました。
-
- インクルーシブ言語 - Secure Code Warriorは、多様性に富んだグローバルチームとお客様を誇りに思っています。多様性は、私たちの仕事の仕方、製品の作り方、チームの成長に常に影響を与えてきました。2020年12月に初めて発表されたように、私たちはインクルーシブ言語のユーザーを確保するための旅に乗り出しました。このたび、私たちの製品の全領域でそれが完了したことを発表できることを嬉しく思います。 (コンテンツ)
-
- 更新されたコーステンプレート - OWASP Top 10 または同等のものが導入され、特定の OWASP 定義が利用できない言語もカバーしています。例えば、IACやフロントエンド言語などです。 (コンテンツ)
修正
- 米国インスタンスにおいて、一部のお客様のパフォーマンスに深刻な影響を及ぼしていたバグを修正しました。
2021年7月
新規
- 新しいタイプのビデオを追加 - セキュリティ・アーキテクチャ/デザイン: (CONTENT)
- 脅威モデリングの概要
- S.T.R.I.D.E
- Cloudoguは、SCM-ManagerプラットフォームのオンプレミスでSecure Code Warrior と統合する を開発しました。このプラグインは、開発者がセキュリティ問題を理解し、より早く修正できるように、プルリクエストやコメント内にコンテキストに沿ったSCWリソースを提供します。このプラグインは、プルリクエストとコメントテキストに含まれる一般的な脆弱性の名前や語句を識別することで機能します。 (統合)
改良点
- すべての Sensei レシピは、YAML フォーマットの単一のファイルとして保存されるようになりました。 (SENSEI)
- XML レシピが YAML フォーマットを利用するようになり、Java レシピと同様にレシピの作成が便利になりました。 (センセイ)
- エンゲージメントを向上させるために、2つの言語のチャレンジボリュームを増やしました: (CONTENT)
-
- Kubernetes - 47 チャレンジ (Δ12)。
- PL/SQL:Basic - 54のチャレンジ(Δ10)
- ヘルプ・メニューのオプション・ラベルのわかりやすさを改善し、あなたとあなたのチームがより簡単かつ迅速にサポートを受けられるようにしました。 (プラットフォーム)
お知らせ
- 7月1日にAngularJSの非推奨化が正式に実施され、トレーニングモードでAngularJSにアクセスすることができなくなり、新しいAngularJSコースやトーナメントを作成することもできなくなりました。ただし、既存のコースにはアクセスできます。 (コンテンツ) (プラットフォーム)
2021年6月
新しい
- 新しい言語:フレームワークを追加 (コンテンツ)
- バッシュ(30課題)
- Cobol:メインフレーム(17の課題)
インプルーブメント
-
チャレンジの質の向上: (コンテンツ)
- プラットフォーム上で人気の高い言語であるC++は、コンテンツの手直しが行われ、開発者が取り組むことができる全チャレンジの最大25% (34個) の品質が向上しました。
- 用語の見直しと更新 - 学習リソースの「ホワイト」/「ブラック」リストの用語は、「許可」/「拒否」リストに名称変更され、プラットフォームで使用されるすべての用語が最新であり、あらゆる背景を持つ開発者に尊重されるようになりました。
-
コーステンプレートの改善と拡張: (コンテンツ)
- コース作成時に、よりスムーズで混乱しないように、企業コース管理者向けのガイダンスとメッセージを改善しました。新しいメッセージングにより、特に複数の定義済みモジュールが追加された際に、重複するコンテンツのバリデーションが必要な場合に、モジュールの正しい編集を行うために必要な情報をユーザーに提供します。(コンテンツ) (プラットフォーム)
- コースフォーカスページ - コース作成時にコースフォーカスを選択する際の、企業コース管理者へのガイダンスを改善しました (テンプレートとフォーカス分野についてのより良い説明)。 (コンテンツ) (プラットフォーム)
- Warrior Connectパートナー - 私たちは、DevSecOpsエコシステムにおける多くのグローバルなテクノロジープロバイダーや地域サービスプロバイダーと提携し、開発者がセキュリティ問題を理解し解決するのに役立つ知見や、これらの脆弱性の再発を防ぐのに役立つ知識とスキルを身につけるための、文脈に即したトレーニング教材を提供しています:
- Sensei機能ハイライト:Library Scope - Senseiの最も愛されている機能をもっと知る。 続きを読む (3分読む)
2021年5月
新機能
- メッセージやアセスメントのためのEnd of Course Activityのユーザーエクスペリエンスを合理化しました。 (プラットフォーム)
- 開発者はコースにリンクされた評価に自動的に招待されます。これにより、アプリケーションセキュリティマネージャは開発者を評価に招待し、誘導する終わりのない管理作業から解放されます。
- 開発者はコースブレイクダウンページの最後のモジュールとして、コース終了時の活動 (メッセージまたは評価) にアクセスすることができます。
- トーナメントにおけるミッション(ボーナスレベル)はPHPで利用可能です:Basic と Scala で利用できます:プレイ。 (コンテンツ)
改良点
- 2つの言語により多くの課題を追加: (CONTENT)
- C#(.NET):Basic - 71 課題 (▲7).
- C#(.NET):C#(.NET): Web API - 54課題(▲7)。
- Javascript:Node.jsのコンテンツの質を継続的に向上させ、開発者により良い学習体験を提供。 (コンテンツ)
- チャレンジ・プレイ済み」の計算方法を改善し、エンゲージメントのレベルをより分かりやすくしました。また、CSVに「Unique Challenge Played」カラムを追加しました。(プラットフォーム)
IE 11非推奨アップデート
- インターネットエクスプローラー11(IE11)のサポートが2021年7月1日までに終了します。 当面の間、IE 11 での API ミッションのサポートは終了しました。 お客様には、最適なエクスペリエンスが得られないことを避けるため、代替ブラウザの使用を検討されることをお勧めします。 (プラットフォーム)
2021年4月
NEW
- プラットフォームにPHPを導入し、36の課題に取り組む。 (コンテンツ)
- Python、Python:Flask、Javaを含む3つの新しい言語がトーナメントでボーナスレベルのミッションをプレイできるようになりました。 (コンテンツ)
改良点
- 3つの言語により多くのチャレンジを追加: (CONTENT)
- PHP:Symfony - 51 課題 (▲20).
- Javaエンタープライズ版API - 80課題 (▲45)
- 疑似コード - 164の課題(▲15)。
- 課題の質の向上: (内容)
- JavaScript:Node.jsのExpressは、プラットフォーム上で人気のある言語ですが、コンテンツの見直しが行われ、開発者が取り組むべき課題の質が向上しました - 337課題。
- JavaScript:Node.jsVue.jsのコンテンツは、Secure Code Warriorが推奨するフロントエンド言語のトップ5カテゴリに再編成され、フロントエンド開発者により適切なコンテンツを提供します。
- コーステンプレートの改善と拡張: (CONTENT)
↪CF_200D↩PCI-DSSコーステンプレートが API 言語でも利用できるようになり、API 言語向けのコースを必要とする企業に関連するコーステンプレートを提供します。- C#(.NET):Web API
- GO:API
- Java:Enterprise Edition API
- Java:Spring API
- JavaScript:Node.jsのAPI
- Kotlin:Spring API
- Python:API
- 管理者はまた、利用可能なすべてのコンテンツをリストアップしたcsvファイルをダウンロードできるようになり、利用可能なコンテンツの幅と深さを完全に把握できるようになりました。3つのcsvファイル(チャレンジ、ビデオ、ミッション)は、管理セクションのレポートタブで利用できます。 (コンテンツ)
- 公開/未公開コースの編集機能 (開発者が登録されていないコースにのみ適用されます)。コース管理者は、すでに公開 (または未公開) されたコースのコンテンツを編集することができるようになります。これにより、管理者はコースの登録が開発者に開放されるまで、コースコンテンツの変更 (モジュールおよびアクティビティの追加/削除) を自由かつ柔軟に行うことができるようになります。 (プラットフォーム)
- コースのアクティビティ追加/編集画面の変更。
- チャレンジタブにチェックポイントのトグルが追加されました。これにより、管理者はセットアップ時にチェックポイントチャレンジを含めることができます。
アクティビティの順序が更新されました。チャレンジは通常、コースで最も頻繁に追加されるアクティビティであるため、管理者はこのリストで最初にチャレンジが表示されるようになり、セットアップ体験が向上します。 (プラットフォーム) - これにより、レポートAPIを利用するお客様は、コンプライアンス目的(例えばPCI - DSSコンプライアンス)で必要な開発者のトレーニング進捗を証明するために必要なトラッキングを設定できるようになります。 (プラットフォーム)
- チャレンジタブにチェックポイントのトグルが追加されました。これにより、管理者はセットアップ時にチェックポイントチャレンジを含めることができます。
- Sensei Product Update - March 2021をチェックしてください。Secure Code WarriorのIntelliJプラグインであるSenseiのユーザーエクスペリエンスに対する最新の改善点を発見し、高品質なコードをより速く書き始めましょう。 詳細はこちら. (SENSEI)
非推奨のお知らせ
- Internet Explorer 11(IE 11)のサポートがまもなく終了します。 (プラットフォーム)
- マイクロソフトによるIE11のサポート終了 に備え、Secure Code Warrior Learning Platform は2021年7月1日をもってIE11のサポートを終了します。この日まで、このブラウザを使用してプラットフォームにアクセスすることは可能ですが、 、引き続き使用すると、プラットフォームの使用時に最適なエクスペリエンスではなくなる可能性があるため、別のブラウザの使用を検討することをお勧めします。
- Angular.JS言語:フレームワークの廃止。 (プラットフォーム)
- GoogleとAngularチームが(3年前に)発表した、 2021年12月31日をもってAngularJSのサポート終了に伴い、PlatformもAngular.JS language:frameworkのコンテンツを終了します。現在AngularJSでトレーニングを行っているお客様は、 Angular.ioにプログラムを移行することをお勧めします。今後数ヶ月の間に、さらに詳しいお知らせをお送りする予定です。
2021年3月
新規
- コース終了日変更の自動通知機能を追加しました。コース管理者は、公開されたコースの終了日が変更された場合、関連する開発者にメール通知を送信するよう選択することができます。 (プラットフォーム)
- ミッションで4つのAPI言語が使用可能になりました: (CONTENT)
- C#(.NET):ウェブAPI
- Python:API
- 疑似コードAPI
- GO: API
改善点
- コースのリーダーボードランキングの進捗データに精度と信頼度のデータを追加し、プログラム管理者がチーム内の開発者のスキルレベルを測定するためのより良い洞察を提供します。 (プラットフォーム)
- 4つの言語へのチャレンジを追加しました: (CONTENT)
- JavaScript:React - 145チャレンジ(▲25)。
- Angular.io (2+) - 133 課題 (▲12).
- C#:Basic - 64課題(▲24課題)。
- CloudFormation - 37課題(▲1)、コース対応に到達。
- Node.jsの第1回目の課題を再編集し、トレーニング内容を最新のものに更新しました。 (コンテンツ)
- AngularとReactを新しいトップ5カテゴリーに再編成し、フロントエンドの脆弱性に重点を置いたトレーニングにしました。新しいカテゴリーは以下の通りです: (内容)
- クロスサイトスクリプティング(XSS)
- 脆弱なコンポーネント
- 無効なリダイレクトとフォワード
- 情報暴露
- インジェクションの欠陥
2021年2月
新規
- PCI-DSS 推奨コーステンプレート セキュリティプログラムマネージャーのためのトレーニングを PCI 要件 6.5 とより緊密に整合させる。 (内容)
- Secure Code Warrior Recommendationsコーステンプレートを追加 開発者向けに、言語の優先度の高い脆弱性に関する最新のトレーニングを提供。OWASP Top 10 テンプレートと比較すると、これらのテンプレートには、新たに出現した脆弱性が含まれ、私たちのデータに基づいて優先順位が修正されています。 (コンテンツ)
- Intro templates を追加し、クライアントが短いコースを素早く簡単に体験できるようにしました。 (コンテンツ)
- プラットフォームでTypescriptをサポートしました(20 Challenges)。 (コンテンツ)
- SenseiCookbook Index の最初のイテレーションが利用可能になりました。開発者は IDE 内で高品質でセキュアなコードを書くのに役立つレシピやクックブックを見つけることができます。 (SENSEI)
改良点
-
ミッションでさらに4つの言語が使用可能に。
- 3つのAPI言語:C# API、Pseudocode API、Python API。
- ゴー
- 対応言語 韓国語 このプラットフォームでは、英語教材に慣れていない韓国人開発者が、コンテンツを翻訳する代わりに学習に集中できるよう支援します。
- 7つの言語に課題を追加しました。
- Pseudocode - 149 Challenges (▲65).
- Java Spring API - 80 Challenges (▲45).
- C#:Core - 176 Challenges (▲44).
- Python:Flask - 65 チャレンジ(▲5)。
- Python:Basic - 61 チャレンジ(▲3)。
- Kubernetes - 35 チャレンジ(▲4)。
- Terraform - 35 チャレンジ(▲11)。
コメント
0件のコメント
記事コメントは受け付けていません。