今日のオリジナル番組


詳細を確認
タブーに切り込め!ここがおかしい「日本の保険」
本日配信
230Picks
Pick に失敗しました

選択しているユーザー
個人に期待する仕様要件がどんどん高くなる、、、
プログラムできて、英語できて、コミュニケーション能力があって、組織を引っ張り、教育ができて、営業数字も積み上げながらセキュリティも強化せよと、、、

若い子たちは大変だな。。。
人気 Picker
セキュアコーディングとは、防御的プログラミングと古くは呼ばれ、実際に脆弱性がないだけでなく、脆弱性につながりうる要素をコーディングのあらゆるレイヤーで排除していくような記述方法です。そのため、仕様変更や追加開発などがあっても堅牢さをいじることがしやすくなります。

日本では、発注側がコーディングのレベルを検証することがあまりできておらず、そのため検修の一環で外側から見た脆弱性診断を別途発注することでセキュリティを担保したとみなすことが多いです。

ところがそれによって担保できるのは、今、実際に脆弱性が無いというだけで、追加開発によって脆弱性が生まれないかを判別することは難しいのです。また、そのたびに脆弱性診断を発注していてはコストも時間もかかってしまいます。

そのため、開発パイプラインに動的解析・静的解析を組み込んだり、エンジニアにセキュアコーディングのトレーニングをするといったことが内製企業では行うようになっています。
ん~ちょっと時代錯誤な気もしますけどね
もちろん重要でしょうけど、複雑化の極みになってきたこの現代において、人が気を付けることにいかほどの意味があるのか。。。
私も学生時代年間200以上の脆弱性をハントしてきましたが、重要なのは静的コード解析による記述起因の脆弱性つぶしと脆弱なライブラリの検出、動的解析によるテストだと思います。
WEB系に関しては確かにセキュアコーディングが一定数ものをいうでしょうが、ほとんどの場合「古いバージョンの○○」が第一ドアになっていることが多い
セキュアコーディングの勉強する時間があったらパッチ管理とライブラリ管理をやる方が幾分かセキュアになると思います。
セキュアコーディング学習サービスは、今までにないサービスですね。ニーズの高まりもあります。

コーディング学習はあっても、脆弱性に対応するコードまで教えてくれません。
セキュリティ学習はあっても、概念やインフラによる対応策止まり。
また、現場では先輩からOJTでしか教えてもらえないテクニックです。
だから、インフラで対応することになります。ただインフラ対応だと痒いところに手が届かない。そのため、セキュアコーディングは必要になります。

ところが脆弱性が見つかると、めちゃ怒られますから、ニーズは大きいと思います。
是非、受講してみたい。