AppSec開発者認定
認定はITセキュリティプロフェッショナル(開発以外)の大部分を占めているようですが、アプリケーションセキュリティやセキュリティソフトウェアの構築に焦点を当てたソフトウェア開発エンジニアに同じ注意が払われたり、要求されたりすることはありません。
私は間違っていますか、それを見ていませんか?それとも、セキュリティ認定は、開発者と一般的なITプロフェッショナル(ネットワークエンジニア、管理者など)にとってそれほど必要ではないのは本当ですか?
最終的に私の質問は、ソフトウェアセキュリティ、SDLC、主にアプリケーションセキュリティ(ネットワークセキュリティの多少のヒントを含む)を専門とするソフトウェア開発エンジニアに認定が必要になるのでしょうか?
開発者向けのセキュリティ認定はあまりありません。単純な理由は、すべての言語とトレンドの認定が必要になることです。そして、傾向が年々激しく変動していることを考えると、傾向がまだ関連している間、笑われることのない堅牢なセキュリティ認証を開発する十分な時間はありません。
開発コミュニティは、安全なライブラリの呼び出し、安全なコーディングに関するオンザジョブトレーニング、およびテストを選択しています。
一般的な安全なコーディング証明書がありますが、非常に一般的なため、真剣に受け止める人はほとんどいません。
これは、ソフトウェア開発のイノベーションサイクルが非常に厳しい間は変わらない状況です。
IT /ネットワーキングのプロは、より安定した環境で作業できるため、認定資格は成長および成熟する機会があります。ファイアウォールはファイアウォールであり、シチュエーションごとの唯一の変更は構文です。フィッシングはフィッシングであり、特徴、識別方法、ブロック方法、およびユーザー教育方法は何年も変わっていません。
物事のIT側のイノベーションサイクルはもっときついのでしょうか。はい。しかし、私たちは長年にわたって基本を正しく理解するために取り組んできたため、攻撃者や防御者がイノベーションを起こす必要はほとんどありません。したがって、共通の知識体系は安定したままであり、その共通の知識体系に対して認証を行うことができます。
私の経験では、真のプログラマーは認定を笑います(正当な理由でほとんどの場合)。彼らはあなたが取り組んだプロジェクトについてもっと気にかけています。
一部の仕事や企業は、業界の証明書を他よりもはるかに高く評価しています。多くの企業は、実際にそれをチェックボックスとして使用して、ジョブのアプリケーションを除外します。認定はたくさんあるので、xがyより優れていると言うのは本当に難しいと思います。
ただし、一般的には、情報セキュリティの分野でCISSPなどの認定を取得すると役立ちます。この認証は通常、雇用主によって望まれています。情報セキュリティには他にも認定がありますが、これはほんの一例です。私は現在の求人市場を見て、大多数の企業が何を望んでいるのか見てみようと思います。それらが「必要」になるかどうかを言うのは非常に難しいですが、私はノーと言うでしょう。要約すると、貴重な証明書はあなたの価値を高めるだけであり、ソフトウェア/情報セキュリティ業界の扉を開くのに役立ちます。