ここで解説するセキュアソフトウェアのベストプラクティスのカテゴリーは「トレーニング」です。これは、潜在的な脅威を軽減するための組織のセキュリティポリシーとコーディングプラクティスについて、新規開発者に教育することに重点を置いているためです。トレーニングは、開発者がセキュリティ上の懸念事項を認識し、コーディングプラクティスにおいてそれらに対処するための知識を身に付けられるようにするための、積極的なアプローチです。
セキュアソフトウェアのベストプラクティスに関するトレーニングの重要性は、SAFECodeの「セキュアソフトウェア開発のための基本プラクティス」（アプリケーションセキュリティ管理の定義と管理の必要性を強調）1や、NISTのセキュアソフトウェア開発フレームワーク（SSDF）2といった業界リソースによって裏付けられています。SSDFは、ソフトウェア開発ライフサイクル全体を通してセキュアな開発プラクティスを統合することを推奨しています。このカテゴリに関する追加的なサポートは、効果的なセキュア開発プラクティスを詳述したリソース345にも記載されています。

手動ピアレビューとは、ソフトウェアのソースコードを元の作者以外の開発者が体系的に検査することを指します。この方法は、ソフトウェアの欠陥を減らし、ソフトウェアプロジェクトの品質を向上させるための貴重なツールとして認識されています。開発者がコードを検査し、開発初期段階で見落とされたミスを発見・修正することで、ソフトウェア全体の品質と開発者のスキルの両方が向上します。
ピア コード レビューは、過去に実行されたコード検査よりも形式的ではなく、より「軽量」であり、知識の伝達、チームの認識の向上、問題に対する代替ソリューションの作成などの利点をもたらします。
:
現代のコードレビューの期待、成果、課題1
ソフトウェアエンジニアリング入門/品質/コードレビュー2
現代のコードレビューにおけるソフトウェアセキュリティ：開発者の視点3

インターセプトプロキシ（プロキシサーバーとも呼ばれる）は、Webクライアント（ブラウザなど）と外部サーバーの間に位置し、通過するリクエストとレスポンスをフィルタリング、監視、または操作します。これは、セキュリティテストやユーザーのプライバシー保護といった正当な目的に使用できますが、攻撃者によって悪用され、開発者が意図しない方法でWebトラフィックが改ざんされ、セキュリティ上の脆弱性につながる可能性があります。
参考文献:
* HTTP および HTTPS プロトコルの理解12。
* プロキシサーバーの定義と役割3.

製品のライフサイクル全体を通して最新の状態に保つ必要があるアンマネージコードを特定するセキュリティ評価の成果物は、サードパーティ製ソフトウェアのリストです。アンマネージコードとは、.NET共通言語ランタイムのガベージコレクション環境で実行されないコードを指し、多くの場合、レガシーコード、システムライブラリ、自動メモリ管理をサポートしていない言語で記述されたコードが含まれます。サードパーティ製ソフトウェアのリストを保持することは、組織が依存関係を追跡し、それらが更新され、修正プログラムが適用され、セキュリティ標準に準拠していることを確認するのに役立つため、非常に重要です。古いコンポーネントは脆弱性をもたらす可能性があるため、これはソフトウェアのセキュリティ体制を長期にわたって維持するために不可欠です。
: Web 検索結果から提供される参照は、安全なソフトウェア開発ライフサイクルの一部として、アンマネージ コードを含むソフトウェア コンポーネントを監視および更新することの重要性を裏付けています12。