AppSecチームのために構築 · 監査にマッピング

エンジニアが避けないセキュアコーディング・
トレーニング、
監査証跡を組み込み済み。

エンジニアリングチームが自分たちのスタックで本番環境に近いコードをレビューし、欠陥を見つけ、修正をリリースする — そしてコンプライアンスの証跡が自動的に積み上がります。PCI DSS 4.0、ISO 27001、OWASPをすべての課題にマッピングしています。

186
脆弱性クラス
930
コードレビュー
67
攻撃シナリオ
15
エンジニアリングスタック
PCI DSS 4.0·ISO 27001·OWASP Top 10·EU CRA
仕組みを見る
仕組み

1つのチャレンジに2フェーズ。

フェーズ1:本番コード内の脆弱なブロックを見つける。フェーズ2:4つのもっともらしい候補の中から正しい修正を選ぶ —「明らかな1つの答え」ではありません。

フェーズ1 — 検出
フェーズ1 — 本番コード内の脆弱なブロックを見つける

930のコードレビューが186の脆弱性クラスにわたって — それぞれがチームが出荷する言語の本番環境に近いスニペットです。5つの候補ブロック、実際の欠陥は1つ。

フェーズ2 — 修正
フェーズ2 — 4つの候補の中から正しい修正を選ぶ

賢いディストラクター — それぞれの誤った修正は実際のAppSecの誤り(エスケープのみ、正規表現バリデーション、バインディングなしのORM)であり、なぜそれが失敗するかの解説付きです。開発者は修正と緩和の違いを学びます。

ガイド付き攻撃ウォークスルー

偵察から悪用、修正まで — 1ステップずつ。

67のシナリオ。973のインタラクティブなステップ。それぞれがエンジニアをシミュレートされたブラウザー、ターミナル、傍受プロキシに引き込みます — 偵察を実行し、悪用を成立させ、そしてコードでギャップを塞ぎます。1つの攻撃クラスにつき、1つの短く集中したセッションです。

LoveNestのアカウント列挙シナリオ — 10ステップ、14分
67
シナリオ
973
インタラクティブなステップ
~14m
平均ウォークスルー時間
あなたのスタックで書かれています

汎用的な擬似コードではなく、あなたのイディオムで。

各エンジニアは初回訪問時に自分のスタックを選びます。その後、すべてのチャレンジは彼らが実際に出荷する言語とフレームワークで読み込まれます — Pythonのf文字列、Goのfmt.Sprintf、C#の文字列補間、JavaのPreparedStatement — 本番の何にもマッピングされない簡略化された擬似コードではありません。

バックエンド
  • JavaScript
  • TypeScript
  • C#
  • Java
  • Python
  • Go
  • PHP
フロントエンド
  • React TS · JS
  • Vue TS · JS
  • Angular TS · JS
モバイル
  • Swift
  • Kotlin
バックエンド、フロントエンド、モバイルにわたる15の言語・フレームワーク・ターゲット — 各チャレンジは選んだスタックのイディオマティックなコードでレンダリングされます。
エンタープライズプラットフォーム

エンタープライズのセキュリティチームがすでに業務を行っている方法に合わせて構築されています。

JITプロビジョニング付きSAML 2.0、SCIM 2.0ライフサイクル同期、あらゆるLMS向けのSCORM 1.2/2004、そしてロールベース委任を備えたマルチテナント管理プレーン。後付けのものは何もありません — すべて初日からライブで利用できます。

SAML 2.0 / OIDC
JITプロビジョニング付きSSO
Okta、Azure AD、Google Workspace、OneLogin、または任意のSAML 2.0 / OIDC IdP。初回ログイン時のJITユーザー作成 — 手動オンボーディング手順はありません。
SCIM 2.0
ユーザーライフサイクル同期
IdPからの自動ユーザープロビジョニングおよびデプロビジョニング — 退職者によるゴーストアカウントはありません。
SCORM 1.2 / 2004
LMS内で実行
Moodle、Cornerstone、SAP SuccessFactors、Docebo、または任意のSCORM準拠のLMSから起動します。完了とブックマークの同期は標準ランタイムを通じて戻されます。
PLATFORM → COMPANY → ORG → TEAM
マルチテナント階層
会社、事業部、スクワッドにわたってデータと管理スコープを分離 — 階層ごとのロールベース委任付き。
IMMUTABLE TRAIL
監査ログ
すべてのログイン、課題、完了、管理操作が、アクター、ロール、IP、メタデータとともに記録されます — QSA、SOC 2、ISO監査のためにクエリ可能でエクスポート可能です。
ASSIGNMENTS & ANALYTICS
期限、チーム、スキルギャップ
トピック、フレームワーク、または攻撃シナリオ別に — ユーザー、チーム、または組織全体に割り当てます。1つの管理ダッシュボードから完了状況、スコア、チーム別のギャップを追跡できます。
コンプライアンス・マッピング

すべての課題が、報告対象のフレームワークにマッピングされています。

PCI DSS 4.0.1
§6.2.2 セキュアコーディング・トレーニング
要件別の証跡:§6.2.2の開発者トレーニングをOWASPカテゴリーとCWEクラスターにマッピング — スプレッドシートの考古学なしにQSAレビューに対応できます。
ISO 27001:2022
附属書A.8.28 セキュアコーディング
A.8.28セキュアコーディング・コントロールの証跡とA.6.3意識向上トレーニングを、チーム別の完了状況およびトピック別のCWEカバレッジに紐付けます。
EU CRA Annex I
セキュア・バイ・デザイン要件
デジタル要素を含む製品に対する本質的なサイバーセキュリティ要件 — チーム別カバレッジを附属書I(1)および(2)に対して追跡。
OWASP TOP 10
Web · API · モバイル
すべてのチャレンジがWeb(2021)、API(2023)、モバイル(2024)のOWASP Top 10カテゴリーにタグ付けされています — それぞれの基礎となるCWEも付与。

すべてのチャレンジは、それが満たすフレームワークに事前タグ付けされています — 監査時は火事場対応ではなく、クエリ実行になります。

御社の監査サイクルに
どう適合するかをご覧ください。

当社チームと30分。管理ダッシュボード、PCI / ISO / OWASPマッピング、SSOとSCIMがIdP向けにどう機能するかをご案内します。

プラットフォームを探索