Steve Wilson によるセキュリティの向上について

Steve Wilson は、Contrast Security の最高製品責任者であり、Citrix、Oracle、Sun Microsystems などの数十億ドル規模のテクノロジー企業で製品の開発とマーケティングに 25 年以上携わってきました。この AMA では、Steve がサーバーレス セキュリティ、JAVA エコシステムにおけるアプリケーション セキュリティ、SBOM、およびベスト プラクティスについて説明しています。

Mónica Freitas、Steve Wilson、Zach Taylor、Victor de Avila、Jack Boreham、Sara Pinto によるこの Slogging スレッドは、slogging の公式 #amas チャンネルで発生し、読みやすいように編集されています。

モニカ・フレイタス2022 年 4 月 21 日午後 4 時

@channel さん、次の AMA ゲストである Steve Wilson を歓迎します。 Steve は現在、Contrast Security の最高製品責任者です。現在、彼のチームは、すべての製品のエンジニアリング、製品管理、および製品設計を担当しています。

スティーブは、Citrix、Oracle、Sun Microsystems などの数十億ドル規模のテクノロジー企業で、製品の開発とマーケティングに 25 年以上携わってきました。

Contrast に入社する前は、Citrix Cloud の製品管理担当副社長を務め、従来のオンプレミスから SaaS への Citrix 製品の変革を主導しました。

Oracle では、システム管理ソフトウェアの 10 億ドル規模の製品ラインのコア エンジニアリングを率いていました。 Sun Microsystems に在籍中、Steve は、歴史上最も広く使用されているソフトウェア開発ツールのセットである Java コンピューター プログラミング システムを開発したチームの初期メンバーでした。

Steve に次のことについてお気軽にお尋ねください。

モニカ・フレイタス2022 年 4 月 21 日16:01

やあ、スティーブ・ウィルソン！ご一緒できて光栄です！まず、あなたのバックグラウンドと、Contrast Security と仕事をするようになった経緯について少し教えていただけますか?

Steve Wilson 2022 年 4 月 21 日 17:50

こんにちはモニカ・フレイタス！ここにいて良かった。まず、私を AMA に参加させてくれた HackerNoon に感謝することから始めたいと思います。あなたの質問に答えるのを楽しみにしています。

私は Contrast Security の最高製品責任者です。Contrast Security はアプリケーション セキュリティのリーダーであり、開発者がコードをセキュリティで保護できるようにします。当社のプラットフォームは、セルフサービス セキュリティ ソリューションを開発者に提供し、ソフトウェア開発ライフサイクル全体を通じて効率を向上させると同時に、アプリケーションを本番前、本番中、および本番後の脆弱性から保護します。製品の開発とマーケティングにおける 25 年以上の経験を活用して、Contrast のすべての製品のエンジニアリング、製品管理、および製品設計を担当するチームを率いています。

私に関する 2 つの楽しい事実:
- 私はテコンドーで 2 段の黒帯を持っています。
- クラシックロックの曲をギターで弾くのが好きです。

Twitterで私をフォローしてください

Steve Wilson 2022 年 4 月 21 日 17:51

ありがとう、Mónica Freitas、私が Contrast に入社した経緯について喜んで話してくれました!

Steve Wilson 2022 年 4 月 21 日 17:52

Citrix、Oracle、Sun Microsystems などの大企業に勤務した後、約 18 か月前に入社しました。

Steve Wilson 2022 年 4 月 21 日 17:53

私は、90 年代後半に Java チームの初期メンバーとして働いていた時代にさかのぼり、エンジニアリングと製品管理の両方で個々の貢献者と管理の役割を果たしてきました。人々が興味を持っているなら、初期の Java/Sun 雑学に関する質問に喜んで答えます。 🙂

Steve Wilson 2022 年 4 月 21 日 17:55

Contrast に入社した経緯について簡単に説明します。

以前の役割では、何百人ものエンジニアのチームが、セキュリティ チームが不適切な「コード スキャン」製品を実行することによって完全に脱線するという状況に陥りました。これにより、膨大な量の技術的負債が発生しましたが (対処する必要がありました)、セキュリティ体制の改善にはほとんどつながりませんでした。それはスケジュールを遅らせ、大きなフラストレーションを引き起こしました。 Contrast に参加して、それを行うためのより良い方法があることに気付きました!

Zach Taylor 2022 年 4 月 21 日、午後 8 時 5 分

こんにちはスティーブ！サーバーレスとは何か説明できますか?

Steve Wilson 2022 年 4 月 21 日 20:09

ありがとう、ザック・テイラー！サーバーレスは、多くの人にとって多くのことを意味する用語の 1 つです。本質的には、サーバー側のコンピューティングをより効率的かつシンプルにするために設計された一連のテクノロジです。この用語の使用法の 1 つは、「仮想マシン」(別名 VMware) の重い概念を抽象化し、代わりに Docker コンテナーや Kubernetes などの軽量でスケーラブルな構造を使用するという考えに関するものです。しかし、サーバーレスの内部ではもっと面白い動きが起こっていると思います...

Steve Wilson 2022 年 4 月 21 日、午後 8 時 13 分

アプリケーション アーキテクチャの 20 年間で最大の革命は、Functions as a Service です。この最も一般的な例は Amazon Web Services (AWS) Lambda ですが、Microsoft や Google などの他のクラウドでも同様の構造が追加されています。 Java サーブレットが Web アーキテクチャとそれ以前の「CGI」を大幅に改善したのと同じように、サーバーレス機能は従来のアーキテクチャよりも 100 倍速く、安価になります。これらの関数は常に楽しいとは限りません。より「イベントベース」であり、必要な場合にのみ実行されます。これらは、大規模なスケーラビリティと低コストが重要な場所で使用されています。数千または数百万のデバイスからデータ収集サービスにデータを送信する可能性のあるモノのインターネット (IoT) アプリケーション。これは本当にエキサイティングなことです。

Zach Taylor 2022 年 4 月 21 日、午後 8 時 28 分

これは開発者にとって非常にエキサイティングです。また、IoT について言及すると、さまざまなユースケースへの扉が開かれるように聞こえます。

サーバーレス セキュリティは、たとえば従来のアプリケーション セキュリティとどう違うのでしょうか?

Steve Wilson 2022 年 4 月 21 日、午後 9 時 9 分

いい質問だ、ザック・テイラー！違いはたくさんあります！

「プラス」の面では、「気にしない」ことができない多くのものを失います。オペレーティング システムや AppServer にパッチを当てる必要があることを心配する必要はありません。あなたの下で「消える」ものすべて。一部のバージョンはまだどこかに存在していますが、それらを表示または管理していません。これは、セキュリティの観点から大きなプラスです。

ただし、「注意」側では、アプリのコードはまったく異なって見えます。実際、コードの AppSec ツール (「コード スキャナー」など) がまったく機能しないと想定する必要があります。すべてのエントリ ポイントとエグジット ポイントが異なるため、ロジック フローが異なります。 OWASP Top 10 タイプの脆弱性 (すべてまだ存在しています) を確実に特定するには、まったく新しい AppSec ツールが必要です。

Steve Wilson 2022 年 4 月 21 日午後 9 時 10 分

実際、OWASP にはサーバーレスに特化したトップ 10 リストがあり、チェックする価値があります。

Steve Wilson 2022 年 4 月 21 日、午後 9 時 12 分

そのため、AppSec ツールが支援する必要がある 2 つの大きな懸念事項がまだ残っています。それは、持ち込んだオープン ソース コードの脆弱性と、作成したカスタム コードの脆弱性です。ただし、各機能に対する Identity and Access Management (IAM) のアクセス許可について心配する必要がある新しい項目もあります。これは、コードをパブリック クラウドで実行するときにコードを安全に保つための重要な部分ですが、手動で行うのは骨が折れます。それを自動化できるツールがあることを確認してください。

Zach Taylor 2022 年 4 月 21 日、午後 9 時 31 分

うわー、それは非常に洞察力です！トレードオフ (両方の長所と短所) にもかかわらず、全体として、自動化はギャップを埋めるための重要なコンポーネントのように思えますか?その OWASP トップ 10 は非常に興味深いようです。私は間違いなくそれをさらに深く掘り下げるつもりです — 共有してくれてありがとう!

ビクター デ アビラ2022 年 4 月 21 日、午後 9 時 33 分

こんにちはスティーブ！組織がサーバーレス/クラウドネイティブ環境への移行を検討している場合、最も差し迫った脅威/危険は何ですか?保護を強化するために、セキュリティ チームは何に留意する必要がありますか?

Steve Wilson 2022 年 4 月 21 日、午後 9 時 45 分

ねえ、ビクトル デ アビラ、いい質問だね!サーバーレス テクノロジにより、基盤となるテクノロジのセキュリティ責任の多くが排除されますが、開発者は依然としてサーバーレス機能を保護する必要があります。コードが安全でない方法で記述されている場合でも、アプリケーションは、クロスサイト スクリプティング (XSS)、コマンド/SQL インジェクション、サービス拒否 (DoS)、認証と承認の破損、セキュリティの構成ミスなど、従来のアプリケーション レベルの攻撃に対して脆弱である可能性があります。 、 などなど。

セキュリティ チームは、一般的な脆弱性と露出 (CVE)、またはオープンソース ライブラリに関連するリスクに対処する必要があるだけでなく、特に開発者が必要な機能をサポートするためにアクセス許可を追加する必要がある場合に、アクセス制御の破綻によって引き起こされる脅威もサーバーレス環境に導入されます。このような状況では、開発者はセキュリティ チームから、必要以上の特権アクセスを提供する定義済みのアクセス許可のリストから選択するように指示されることがよくあります。

優れた自動化プロセスは、最小権限のアプリケーションにとって絶好の機会になる可能性があります。これは、以前のレベルでは不可能なことでした。ただし、このプロセスを正確かつ迅速に大規模に自動化することは容易ではありません。

サーバーレス環境では、逆シリアル化攻撃がより一般的になり、監査と監視が従来のアプリケーションよりも難しくなるため、攻撃面も増加します。その結果、組織は最小特権の原則に従い、強力なアクセス制御を確保して攻撃対象領域を減らし、許可された個人のみがアクセスできるようにする必要があります。

同様に、DevSecOps チームは、サーバーレス機能内の「スプロール」にも注意する必要があります。関数には、異なるリージョンや複数のアカウントで複数のバージョンが存在する可能性があるため、管理チームとセキュリティ チームが組織レベルでサーバーレス インベントリの全体的なサイズを把握することは困難です。これに対処するには、クラウド インフラストラクチャとサーバーレスの両方に関連する強力な資産管理コントロールが必要になります。

最後に、チームはライブラリのアクセス許可を検討する必要があります。通常のアプリケーション セキュリティと変わりませんが、関数には多くの依存関係がある傾向があります。さらに、場合によっては、コードがクリーンに見える場合でも、インフラストラクチャ (IaC など) が展開時に追加のライブラリを導入し、サードパーティの脆弱性を見逃す可能性があります。 DevSecOps チームは、これらのサーバーレス固有の考慮事項を重視して、強力なセキュリティ プロセスを有効にする必要があります。

ジャック・ボアハム2022 年 4 月 22 日、12:07 午後

やあ、スティーブ・ウィルソン！オラクルでのあなたの勤務時間について教えてください。あそこで何をしたの？

Steve Wilson 2022 年 4 月 22 日 15:08

やあ、ジャック・ボアハム、質問してくれてありがとう！ 2010 年から 2013 年までの約 3 年半の間、私は Oracle にいました。その間、私は Enterprise Manager チームの「コア エンジニアリング担当副社長」を務めていました。これは、オラクルのポートフォリオ全体 (ハードウェアからハイパーバイザー、データベース、ミドルウェア、アプリまで) の管理ツールのスイートでした。大規模な作業について多くのことを学んだ仕事です (私のチームは、北米、ヨーロッパ (フランスとチェコ共和国)、およびインドに分かれた約 500 人でした。オラクルには奇妙な企業文化がありましたが、非常に規律あるエンジニアリング文化がありました (そこではテストと品質の向上について多くのことを学びました。

しかし、詳しく説明すると、私は Oracle が Sun Microsystems を買収したときに入社しました。実際、私は 90 年代半ばに Java 開発者キットのコーダーとして Sun に入社し、James Gosling のようなあらゆる種類の賢い人々 (および有名なプログラマーになり、素晴らしいものを構築した他の多くの人々) と仕事をするようになりました。私は Java GUI ツールキットの作業を開始し、その後 Java の最初のフルタイム パフォーマンス エンジニアになりました。実際、私はそれについて本を書きました。楽しみのためにリンクを提供しますが、それは非常に古くなっているため、今すぐ読むことはお勧めしません。 😉

私は管理職に移り、NetBeans IDE チーム (これまでで一番好きな仕事です) を率い、次に Sun の仮想化およびシステム管理チームを率いました。この部分についてさらに質問がある場合はお知らせください。 Sun/Oracle に関する楽しい話がたくさんあります。

モニカ・フレイタス2022 年 4 月 22 日、午後 2 時 2 分

スティーブ・ウィルソン 素晴らしい旅ですね!
Contrast での役割において、どのような課題に直面しましたか?セルフサービス セキュリティ ソリューションとはどういう意味ですか?確立された一連のセキュリティ ソリューションがあり、どの企業もニーズに最適なものを選択できますか?企業がカスタマイズされたソリューションを Contrast に依頼することは可能ですか?

Steve Wilson 2022 年 4 月 22 日 15:15

Mónica Freitas さん、Contrast についてお問い合わせいただきありがとうございます。 Contrast は、開発者が安全なアプリケーションを構築するのに役立つツールを専門とする会社です。多くの人がセキュリティについて考えるとき、ネットワーク、識別、またはエンドポイント セキュリティ ツールなどを考えますが (これは重要です)、ハッカーから何を保護しようとしているのでしょうか?それは、私たちのアプリケーションと、それらが私たちのために保存しているデータに関するものです。そのため、アプリケーションのセキュリティが非常に重要であり、それらが Contrast が構築するツールです。

Secure Code Platform と呼ばれるものがあります。これには、開発者やセキュリティ チームを支援する多くのテクノロジが含まれています。これには、ソース コード スキャン (SAST)、アプリを「インサイド アウト」からテストできる計測器) IAST、ゼロデイ脆弱性を悪用しようとする攻撃者を実際に無力化できるランタイム保護 (RASP) が含まれます。最近の例は、Log4J や Spring4Shell などです。そして最後に、私たちは最近、クラウドネイティブなサーバーレス コード用の世界初のセキュリティ ツールを導入しました。 DevSecOps プログラムを作成して開発速度を維持しながら、コードの安全性を確保するための最良のオプションについて、喜んで人々と話したいと思います。

詳細については、こちらからお問い合わせください。

Steve Wilson 2022 年 4 月 22 日 15:19

Mónica Freitas は、「セルフサービス」セキュリティのトピックについて... セルフサービス セキュリティ ソリューションとは、開発者が Contrasts ツールを独自に活用し、最適と思われる方法で使用できることを指します。これは、開発者と DevOps チームが仕事を遂行するために必要なツールだけを入手し、最小限のセキュリティ トレーニング (または専任のセキュリティ エンジニアリング チームによる継続的な監視) で脆弱性を見つけて修正できることを意味します。カスタマイズされたソリューションを Contrast に依頼することに関しては、絶対に。私たちのチームは、長期的および短期的なニーズだけでなく、目的に基づいて何が最も効果的であるかについてチームを導くことができます.

モニカ・フレイタス2022 年 4 月 22 日、午後 2 時 5 分

スティーブ・ウィルソン、あなたが見た中で最も一般的なセキュリティ問題は何ですか?また、企業はそれらを解決するためにどのような手段を講じることができますか?

Steve Wilson 2022 年 4 月 22 日 15:32

Mónica Freitas さん、最も一般的なセキュリティの問題について質問していただきありがとうございます。フィッシングや不正なパスワードのようなものは避けるつもりです (それは明らかであり、十分に踏み固められているためです)。代わりに、安全なアプリケーションを作成する際の問題に焦点を当てます。確認する必要がある主な事項が 2 つあります。自分が書いたコードを保護することと、他の誰かが書いたコード (通常はオープンソース) を保護することです。

あなたが書いたコードでは、かなり多くの脆弱性タイプが分類されています。最も一般的な (そして最も深刻な) 攻撃の 1 つは、「インジェクション」攻撃と呼ばれます。これは、外部エンティティ (ハッカー!) が、予想も意図もしていなかった方法でシステムの一部にデータを挿入できることを意味します。これらは、ハッカーがデータベースクエリ言語の一部をデータベースに入れてリモートで実行できる「SQL インジェクション攻撃」のようなものです。これは非常に一般的であり、20 年間最大の問題となっています。それほど深刻ではないと考えられていたもう 1 つの問題は、ハッカーが汚染されたデータをアプリのログ ファイルに直接ドロップできる「ログ ファイル インジェクション」です。それほど悪くないように思えますが、これは 12 月または 1 月に非常に多くの企業に影響を与えた最近の Log4J セキュリティ インシデントの中心にありました。

オープンソース コードに関して言えば、最新のビジネス アプリのコードの大部分は、企業の開発者によって書かれたものではないことがわかっています。オープンソースです。オープンソースはあらゆる種類の攻撃に対してオープンであり、オープンソースはコードに多くの目を向けることによって安全なコードの強固な基盤を提供しますが、それらの目の多くは現在ハッカーです (学生から国家のハッカーまで)。これらのライブラリの一部 (Struts、Log4J、Spring など) は非常に人気があり、世界中の何百万ものアプリに組み込まれています。数年前、Equifax と呼ばれる信用格付け会社は脆弱なバージョンの Struts を使用しており、数億人のアメリカ人の個人財務データを失いました。その結果、彼らは4億ドル以上の罰金を科されました。これは深刻です。

これらの問題の両方に対処する最善の方法は、開発プラクティスを最新化して、これらの種類の問題を検出して修復するのに役立つ自動化ツールを含めることです。 Contrast の安全なコード プラットフォームは、Java、JavaScript .NET、Go、Ruby、Python、Scala、Kotlin で動作するため、これらの一般的なテクノロジを使用している場合は、ツールを最新化し、すべてを自動化するプログラムを構築するお手伝いをさせていただきます。これの。

サラ・ピント2022 年 4 月 22 日、14:26

おい、スティーブ・ウィルソン！ SBOM とは何ですか?それらはセキュリティ システムに影響を与えますか?

Steve Wilson 2022 年 4 月 22 日 15:40

Sara Pinto さん、SBOM についてお問い合わせいただきありがとうございます。今、とても面白くて話題のエリアです！これは、ソフトウェア サプライ チェーン セキュリティと呼ばれるより大きなトピックの一部です。このスレッドの他の質問で指摘されているように、最新のアプリのコードの多くは、自社の開発者によって書かれたものではありません。サードパーティ (多くの場合オープンソース) からのものです。少し前に、Solar Winds というソフトウェア ベンダーがハッキングされました。これは太陽風にとっては悪いことでしたが、さらに悪いことに、Solar Winds が構築したコードは、他の多くの企業や政府のクラウドやデータ センター環境に埋め込まれていました。

これを知って、SolarWinds を攻撃したハッカーは、SolarWinds から盗んだだけでなく、この機会を利用して、SolarWind のソフトウェアにバックドアを配置し、その後、他の多くの企業によって組み込まれました。調査は大規模で、独自のコードだけでなく、他の場所から取得したコードも追跡する必要があるという考えに至りました。プロセス全体をエンド ツー エンドで保護する必要があり、これをソフトウェア サプライ チェーン セキュリティと呼びます。

SBOM は、ソフトウェア部品表の略です。 SBOM は、コードベースに存在するすべてのオープンソースおよびサードパーティ コンポーネントのリストと、それらのコンポーネントを管理するすべてのライセンスのリストです。食品の箱の側面にある栄養表示のようなものだと考えてください。消費者が食品に何が含まれているかを知るのに役立ち、それを使用して食品が安全で健康的であることを確認できます。

SBOM は、ソフトウェア市場の透明性を高め、脆弱性が特定された場合に開発者が迅速に行動できるようにします。最近のサイバーセキュリティ大統領令では、SBOM が必要であると述べられており、NTIA は SBOM の必須事項として「SBOM の最小要素」をリリースしました。これらの点の多くは、我が国のサイバーセキュリティに関するバイデンの最近の声明とそれに付随するファクト シートでさらに強調されました。 .

さらに、Gartner は、2025 年までに、重要なインフラストラクチャ ソフトウェアを構築または調達する組織の 60% が、ソフトウェア エンジニアリングの実践において SBOM を義務付け、標準化すると予測しています。これらは、サーバーレスを含む最新のアプリケーションを保護するための優れた最初のステップですが、開発者とセキュリティ チームは、アプリケーションを安全に保つために依然として忙しく、その責任は DevSecOps チームにかかっています。

モニカ・フレイタス2022 年 4 月 22 日、午後 2 時 2 分

Steve Wilson は、Web3 の開発に伴い、web3 のセキュリティ オプションを作成する可能性を検討していますか?

Steve Wilson 2022 年 4 月 22 日 17:13

Mónica Freitas さん、Web3 セキュリティに関する質問をありがとうございます。これは魅力的なトピックであり、かなり幅広いトピックです。私は私の視点を追加しようとします。まず、Web3 を定義する必要があります。

ポピュラー カルチャーでは、Web3 のアイデアは奇妙なデジタル アートの取引によって支配されています。ポンジ・スキームと詐欺については、常に議論が交わされています。しかし、Web3 のコンセプトは魅力的だと思います。

それをすべて取り除くと、Web3 は、インターネットの大部分をゼロから再構築するための大胆な一連の試みです (そして、多くは失敗すると確信しています)。なぜそれをする必要があるのですか？まあ、それは本当にセキュリティと信頼の問題です!

インターネットとその上にあるワールド ワイド ウェブは、学者が学者のために構築したものです。それらは、情報を公開し、科学と技術を進歩させ、アイデアの交換を促進することを目的としていました。その意味で、インターネット/ウェブは人類史上最も成功した試みです。

ただし、その性質上、重要な概念である信頼が欠けています。あなたが誰であるかをどのように知ることができますか?あなたが所有しているものをどうやって知ることができますか?あなたが何の権利を持っているかをどうやって知ることができますか?そのどれも、最初はインターネットに組み込まれていませんでした。その上に重なるものはすべて壊れやすく、集中管理されています。あなたが所有しているものをどうやって知ることができますか?銀行/クレジットカード会社にお尋ねします。あなたが誰であるかをどのように知ることができますか?うわー、それは今日までインターネット上でほとんど完全に未解決の問題です!

Web3 は、Bitcoin/Crypto-currency によって開拓された概念から始まる傾向があり、その中心にブロックチェーンがあります。約 4 年前、10 代の娘とその友達が無料の VPN サービスを使用して高校のファイアウォールをトンネルし、学校で Netflix を視聴していることに気付きました。怒るのではなく、セキュリティと暗号化について彼女と会話を始めるのに最適な方法であることがわかりました (NERD DAD ALERT!)。私たちはどういうわけか、イーサリアムを採掘し、ブロックチェーンについて学ぶ素晴らしい冒険に乗り出すことになりました. ここで私たちの冒険のいくつかを読むことができます.

Steve Wilson 2022 年 4 月 22 日 17:16

これにより、私は個人的にブロックチェーンがどのように機能するかを深く掘り下げました.ある意味では、これはコンピューター サイエンスの驚異であり、ある意味ではエンジニアリングの悪夢ですが、中央機関なしで信頼を分散する方法に関する一連の新しい概念を開拓しました。これがweb3のコアです！あなたが誰で、あなたが何を所有しているか (特定の状況で) を、中間の第三者機関が教えてくれることなく知るにはどうすればよいですか?

ブロックチェーンの良い点と悪い点についての私の考えを読むことに興味がある場合は、この記事をチェックしてください。数年前のものですが、ここでの中心的な概念は十分にゆっくりと動いているため、すべてが議論に大きく関連しています。

Steve Wilson 2022 年 4 月 22 日 17:26

それでは、真鍮の鋲に取り掛かりましょう。 Web3 セキュリティに飛び込もうとしている人に何を伝えますか?

第 1 に、小規模なブロックチェーンでのセキュリティ障害の事例が注目を集めています。ブロックチェーンの信頼は通常、コンセンサス投票に基づいており、クリティカル マスがなければ、誰かが投票の 50% 以上を所有する可能性があり、問題が発生します。しかし、これは、今日 Web3 を見ている開発者にとって最も重要なトピックではないと思います。

近年の Web3/NFT/Crypto に関する大きなセキュリティ インシデントを見ると、それらはコア ブロックチェーンとは関係ありません。それらは、企業のコード/インフラストラクチャの Web2 部分にあり、依然として世界を結び付けています。非常に長期的 (数十年単位で考えてください) での Web3 の戦略は、インターネットの基盤を信頼をコア コンポーネントとして含むものに置き換えることです。それは実現するかもしれませんし、称賛に値しますが、それはまだ先の話です。

現在、IPv4/6、SSL、HTML、JavaScript、REST、AppServer、オープンソース ライブラリ、SQL データベースなど、世界を (ブロックチェーン/web3 テクノロジの島々で) まとめています。あなたがNFT取引所（または同様のもの）を運営している場合、私と私の顧客/パートナーとの間の接着剤である私の世界のWeb2部分について心配するのと同じくらい（またはそれ以上）の時間を費やします.以前にここで説明したのと同じアプリケーション セキュリティの概念すべての影響を受けやすくなっています。優れた DevSecOps プログラムとプラットフォームが必要です。そして、そのほとんどは、クレジット カード プロセッサや大手銀行に似ているはずです。ここではコントラストが役立ちます。

Web2 の「接着剤」を大手銀行と同じレベルまで固めることができれば、Web3 の世界でどう差別化するかを考えることに時間を費やすことができます。エキサイティングな時代です。これがどう展開していくのか楽しみです。

このトピックについてもっと話したいことがあれば教えてください。チャットしたいです！

サラ・ピント2022 年 4 月 22 日、午後 2 時 30 分

Steve Wilson さん、私はこれらすべてのソフトウェア セキュリティ標準に不慣れです。それらについて詳しく説明していただけますか？これについて何を知っておくべきですか？

Steve Wilson 2022 年 4 月 22 日 17:45

Sara Pinto さん、ソフトウェア セキュリティ標準に関する質問をありがとうございます。わお！あなたは本当に大きくて重要なトピックに出くわしました。

規格には、大きく 2 つのタイプがあります。契約/商業規格と法定規格です。商用規格は、ビジネスを行うのに役立つものです。これらの基準のいずれかを遵守することは、契約に記載される場合があります。たとえば、顧客は、SOC2 と呼ばれる標準に準拠することを要求する場合があり、それを実証するために定期的に監査を受けます。

一方、クラウド コンピューティング サービスを米国政府に販売するには、FedRAMP と呼ばれる一連の標準に従う必要があります (これは「法律による」ため、法定要件と見なされます)。

ソフトウェア/SaaS 企業を経営している場合、これらの例はどちらも興味深く、重要です。ただし、個々の開発者にとって、それらは本当に抽象的です。たとえば、これらの標準には、単なる「ソフトウェア」をはるかに超えた多くの項目が含まれています。良い例は、すべての従業員に対して十分なバックグラウンド チェックと基本的なセキュリティ トレーニングを行っているかということです。

ソフトウェア開発者にとっては、心配したいかもしれない詳細をより深く掘り下げた、よりきめの細かい標準があります。ここでは、旅の探索を開始するための楽しいもののリストの一部を示します。一部の要件は技術的なものであり、一部の要件はソフトウェアの構築に使用するプロセスであることに注意してください。

サイバーセキュリティ大統領令 14028

PCI SSF (PA-DSS の置き換え)

OWASP

NIST

CISA

OMB

プライバシー（セキュリティはプライバシーの前提条件です

他の

Steve Wilson 2022 年 4 月 22 日、午後 9 時 14 分

これはみんなとても楽しかったです。ご参加ありがとうございます！残りの時間はこのチャンネルを見ていきますが、これでこのスレッドを終了する場合は、 ここで私が取り組んできたことを少し紹介します。楽しんでくれると良いです！

Mónica Freitas 2022 年 4 月 25 日13:40

Steve Wilson にご参加いただき、また、ご丁寧な回答をいただきありがとうございます。ここに来てよかったです！