エンジニア向け「セキュリティ学習サービス」が国内外で加速、全開発者がセキュアコーディング学ぶ時代へ
コメント
選択しているユーザー
注目のコメント
セキュアコーディングとは、防御的プログラミングと古くは呼ばれ、実際に脆弱性がないだけでなく、脆弱性につながりうる要素をコーディングのあらゆるレイヤーで排除していくような記述方法です。そのため、仕様変更や追加開発などがあっても堅牢さをいじることがしやすくなります。
日本では、発注側がコーディングのレベルを検証することがあまりできておらず、そのため検修の一環で外側から見た脆弱性診断を別途発注することでセキュリティを担保したとみなすことが多いです。
ところがそれによって担保できるのは、今、実際に脆弱性が無いというだけで、追加開発によって脆弱性が生まれないかを判別することは難しいのです。また、そのたびに脆弱性診断を発注していてはコストも時間もかかってしまいます。
そのため、開発パイプラインに動的解析・静的解析を組み込んだり、エンジニアにセキュアコーディングのトレーニングをするといったことが内製企業では行うようになっています。ん~ちょっと時代錯誤な気もしますけどね
もちろん重要でしょうけど、複雑化の極みになってきたこの現代において、人が気を付けることにいかほどの意味があるのか。。。
私も学生時代年間200以上の脆弱性をハントしてきましたが、重要なのは静的コード解析による記述起因の脆弱性つぶしと脆弱なライブラリの検出、動的解析によるテストだと思います。
WEB系に関しては確かにセキュアコーディングが一定数ものをいうでしょうが、ほとんどの場合「古いバージョンの○○」が第一ドアになっていることが多い
セキュアコーディングの勉強する時間があったらパッチ管理とライブラリ管理をやる方が幾分かセキュアになると思います。エンジニアにはインフラ面を含めてセキュリティへの知識が求められるようになってきていると感じる
セキュリティパッチだけとっても定期的にアップデートできていないことも多いと思いますし、どうやってセキュリティに対する意識を上げていくかが重要
そういう意味ではこういうものを学べるサービスがあるのは良いことだなと感じます