私は最近、中规模の通信ソフトウェア会社で働いている私の友人に、アプリケーション?セキュリティ?プログラムの最初に取り组むべきことを説明しました。しかし、高度なスキルを持つ技术スタッフがいる中小公司の场合、セキュアなソフトウェア开発ライフサイクル(厂厂顿尝颁)を実装することの価値を理解してすぐに把握するのは难しい场合があります。
開発者やアーキテクトの作業を批評することは、厄介な問題になるかもしれません。 忙しい人々、つまり、開発しているソフトウェアがセキュアに構築されていることを確認するための支援の恩恵を受ける忙しい人々であることを確認した上で、本題に移りましょう。 ソフトウェアをセキュアにするためのアプリケーションセキュリティの7つの基本を見ていくことにします。
eBook
ソフトウェア?セキュリティ?イニシアティブを立ち上げる方法
さらにそれを必要とする10の理由
1.アプリケーションセキュリティを谁かの仕事にする
私は、セキュリティと同じくらい重要なことをうまくやりたいのなら、それを行うには谁かの仕事が必要だと固く信じています。BSIMMに参加しているすべての公司には、アプリケーションセキュリティを担当する専门家または専门チームがいます。组织の规模と利用可能な予算に応じて、これはパートタイムの役割からいくつかの専门チームまで何でもかまいません。
2.小さく始めて、大きく育てる
これは非常に重要です。短期と长期の両方の计画がすべてです。组织全体をすぐに动かそうとしないでください。アプリケーションに优先顺位を付け(最初に非常に重要なアプリケーションを対象とします)、测定可能な目标を设定し、実际のアクティビティをパイロットで検証して结果を确认します。これにより、アプリケーションセキュリティの価値が共有され、早期の投资収益率が明らかとなり、利害関係者の賛同が得やすくなるからです。
価値のある目标には、リスクの軽减が含まれます。いくつかの脆弱性を见つけるだけでは十分ではありません。真の改善を示すためには、それらも修正する必要があります。ただし、1つのアプリケーションを保护するための手顺を実行するだけでは、おそらく十分ではないことを覚えておく必要もあります。长期的には、アプリケーションのポートフォリオ全体に対するリスクベースのアプローチが必要になります。労力がかかりすぎると拡张性が低下するため、自动化する领域に注意し、どこまで详细に扱うかについて现実的に考えてください。
3.厂顿尝颁全体を见渡す
优れたアプリケーションセキュリティは、アプリケーションの全体的な特性のことです。残念ながら、それをすべて行うことができる魔法のツールはありません。品质保証の他の分野と同様に、最善のアプローチは、ソフトウェア开発ライフサイクル(厂顿尝颁)の各段阶で各々のアクティビティを组み合わせることです。そして、最初に考えなければならないのは以下の点です。
- 设计フェーズ(アーキテクチャ分析を実施)
- 开発フェーズ(セキュア?コードレビューを実施)
- デプロイフェーズ(动的アプリケーション?セキュリティテストを実施)
一般に、厂顿尝颁の后半で(ペネトレーションテストなどによって)问题を特定することは简単ですが、この段阶では问题を修正するためのコストも高くなることに注意が必要です。
したがって、できるだけ早い机会に问题を特定することを目指したわけです。早期発见により、问题を修正するためのコストを低减することが可能となり、开発者や他の実装チームへの开発遅延のプレッシャーが軽减されます。私の仕事の最も満足のいく部分の1つは、问题になる前に问题を见つけることです(これは、アーキテクチャが固まる前にアーキテクトと会话することを意味します)。
4.组织の持っている强みを活かす
アプリケーションセキュリティプログラムを构筑する正しい方法は1つではありません。最も効率的な方法は、组织内の既存のプロセスと机能を可能な限り活用することです。あなたの组织は厂顿尝颁品质ゲートを强力に実施していますか?それらにいくつかのアプリケーションセキュリティアクティビティを追加します。开発は颁滨ツールセットを中心に展开していますか?いくつかのセキュリティツールをそれに统合します。开発チームは闯滨搁础チケットを介して时间を管理していますか?セキュリティバグのために闯滨搁础チケットを発行してください。
5.“それ”について叫ぶ
アプリケーションのセキュリティはとても面白いはずです。
そのことを周囲に理解してもらうために、できるだけ多くの機会を利用しましょう。利害関係者を教育することは重要ですし、本当に彼らの興味を引くことができれば、彼らは自分自身で学習し始め、アプリケーションセキュリティの重要さを心から受け入れてくれるかもしれません。 もちろん、アプリケーションの中に脆弱性を発見したことは誇ってもいいでしょう。ただし、脆弱性を作り込んでしまった人たちを傷つけないように注意してください。
6.実现できる人になろう
アプリケーションのセキュリティは前向きに捉える必要があります。 そのために、発見した問題を強調するだけでなく、解決策を提案してください。 組織や開発言語やフレームワークをよく知っている場合は、開発チームの時間を節約するためのより良い方法を知っているなら、利害関係者に、より効率的で効果的なプロセスを提案し、将来同様の問題を回避する方法を彼らが理解していることを確認するのが良いでしょう。
7.ナレッジベースの构筑
アプリケーション開発に携わっていると、多くの興味深いバグや欠陥があり、それらのいくつかに複数回遭遇する可能性があります。 何かを修正したら、次回より簡単に修正できるように記録を残しましょう。 認証システムを正しく取得するために多くの時間を費やす場合は、組織内での再利用を奨励してください。 オンラインで優れたリソースを見つけた場合は、他の人も読めるように、ブックマークを共有しましょう。
まとめ
アプリケーション?セキュリティ?プログラムの成长は兴味深い挑戦です。慎重な计画と少しの努力で、価値のある结果を达成できるのですから。それを谁かの仕事にするという最初のハードルを克服し、一歩ずつ前に进めていくことができれば、価値のある机能、场合によっては竞合他社との差别化に成功することになるわけです。
しかし、一朝一夕に実现できるわけではないことを忘れないでください。
Continue Reading
AI を活用したPolaris Assistでアプリケーションコードの修正を高速化
サプライチェーンのセキュリティリスクを担保する
