本記事は、Trailheadモジュール「Application Security Basics」の覚え書き、気づきの整理です。

trailhead.salesforce.com

アプリケーションセキュリティの話。 アプリケーションセキュリティエンジニアとはなんぞ、そして求められるスキルについて記載されています。
また、セキュリティに対する脅威についても記載されています。

Get to Know Application Security

• オープンソースプロジェクトに貢献すること：スキルを磨き、証明しながら、アプリケーション開発とセキュリティの実践的な経験を得るための素晴らしい方法
• 多くのセキュリティ侵害は、アプリケーションの脆弱性の結果
• アプリケーションセキュリティエンジニア：開発チームやビジネスユニットと連携して、安全なアプリケーションの設計、作成、文書化、コーディング、テスト、デプロイ、保守を支援する。
  • アプリケーション開発者：ビジネス要件を満たすために可能な限り迅速にコードを生成すること
  • CIA：confidentiality(秘匿性), integrity(完全性), availability(可用性)　→ 情報セキュリティの基本的な目標

Learn Application Security Engineer Skills

• 人材不足により、アプリケーションセキュリティエンジニアはアプリケーション開発者よりも多くのお金を稼ぐことが可能。
• 必要なスキル：脅威のモデリング、セキュアなソフトウェア開発ライフサイクル、セキュリティコードのレビュー、脆弱性のテストと分析
• 専門家としてのキャリアを考えている場合、コンピュータサイエンスの大学の学位を取得するのは１つの良い方法。
• アプリケーションセキュリティエンジニアの仕事は、悪用を防ぐための強化する最も効率的な方法を開発チームに助言すること

Identify Common Application Security Threats

• アプリケーションのリスクを特定する目的は、各アプリケーションによってもたらされる脅威、脆弱性、ビジネスへの影響を理解し、関連する保護の優先順位を決めること
• 脅威の追跡：誰が？どこから？どうやって？利用できる機能は？

salesforce に関係なく、全てのアプリケーション開発者に読んで欲しい話かと。と言いますか、文中にsalesforce って単語は出てこない。
サイバーセキュリティのトレイルと同じく、各ユニットごとにまとめが記載されています。同時期に公開されたからかな？