btzgrp
  • Speek!は、Torを使用して安全な通信を提供する新しい暗号化チャットサービスです - TechRepublic
Headlines

DevSecOpsはソフトウェアサイクルにセキュリティを組み込む

05 mins
DevSecOpsはソフトウェアサイクルにセキュリティを組み込む
DevSecOps ソフトウェア開発サイクル プログラミング コンセプト。
画像: Murrstock/Adobe Stock

革新と創造への推進力により、ソフトウェア開発者は新しいアプリ、アップデート、バグ修正を提供するために猛スピードで動くことが多くなります。この狂乱したペースは、セキュリティの見落としにつながる可能性があります。

DevSecOps(開発者、サイバーセキュリティ、運用を組み合わせた造語)は、アプリケーションセキュリティの原則をソフトウェア開発と運用に、可能な限り摩擦を少なく、かつ俊敏性を最大限に高めながら取り入れる協働的な手法です。その目標は、アプリケーションセキュリティを損なうことなく、製品を迅速に展開することです。

ソフトウェアライフサイクルにセキュリティを追加する

ソフトウェアインテリジェンス企業 DynaTrace がこの問題に関するホワイトペーパーを発表したところによると、DevSecOps はソフトウェア開発および配信プロセスのあらゆる段階で製品にセキュリティを組み込むという。

「DevSecOpsはコードの脆弱性を可視化します。また、ターゲットが実際の攻撃にどの程度耐えられるか、攻撃者がどこまで攻撃できるかを深く理解することもできます」とDynaTraceは述べています。

TABCyber​​のCEO、エドワード・アモロソ氏は、業務上のセキュリティは、変更をどれだけ迅速に行う必要があるかによって決まると述べた。

「状況は時間ごとに、分ごとに、あるいは月ごとに変化しているのでしょうか?ペースメーカーならソフトウェアは更新されませんが、ソーシャルメディアなら更新されます」とアモロソ氏は述べた。「ソフトウェアのアップグレードを受けられないデバイスのために、DevOpsのセキュリティテレメトリを自動化する必要が本当にあるのでしょうか?」

参照: セキュリティ ソリューションに関しては、多ければ多いほど良いとは限らない理由。

DevSecOpsの主要要素

左シフト

業界関係者によると、「シフトレフト」とは、運用中ではなく開発中にコードの脆弱性を特定することを意味します。これは重要な動きです。なぜなら、運用環境では、開発者が他のプロジェクトに移行した後で修正に取り組むことが非常に困難になるからです (画像 A )。

画像A

DevOps 上にセキュリティ サイクルを統合します。
画像: Graphic&Illustration/Adobe Stock。DevOps 上にセキュリティサイクルを統合。

「『シフトレフト』は DevSecOps の核となる信条ですが、実際にはそれをさらに一歩進めることができます」と、Salesforce DevSecOps のプラットフォームである AutoRABIT の CEO である Meredith Bell 氏は述べています。

「私たちはまた、『シフトイン』という言葉を、各ステークホルダー間でフィードバックが絶えず流れるコミュニケーションの流れを作り出す実践を指すのに使用しています」とベル氏は付け加えた。

ベル氏は、このプラクティスを導入することで、プロジェクトに関わる全員があらゆる不測の事態を把握し、混乱を回避できると述べています。「行動、測定、調整、改善という継続的なサイクルが生まれます。これらのフィードバックループは互いに強化され、増幅し合うことで、クリーンで安全なコードを生み出す環境が生まれます」と彼は述べています。

自動化されたプロセス

自動化により、ソフトウェア ライフサイクルの生産部分から人為的なミスを排除できます。

ソフトウェア インテリジェンス企業 DynaTrace によると、自動化は DevSecOps プロセスの重要な部分であると、最近のホワイトペーパーで説明されています。

「…チームはテストを自動化する必要があるが、ソフトウェアをテストからリリースに進めたり、コードをリポジトリにコミットしたりするワークフローも自動化する必要がある」と同社はレポートに記している。

アマロソ氏は、自動化ソリューションを提供しているベンダーは数多く存在すると述べた。「自動化はしないよりはまし、定期的なものよりは継続的、不完全なものよりは完全なものの方がよい、と多くの人が言うでしょう。そして、これを商業的に実現可能な形で提供している企業は少なくとも30社あります。」

ソフトウェアセキュリティをより簡単に

開発者とセキュリティ分野の両方の専門家は、DevSecOpsではセキュリティ目標達成に開発者を関与させるべきだという点で一致しています。Nair氏によると、従来の運用セキュリティはコンプライアンス担当者の仕事であり、スキャンを実行して問題を発見し、開発者に報告するものでした。

「構築から6ヶ月も経てば、そのソフトウェアはまるで他人のコードと同じになってしまうかもしれません。こうした監査中心のアプローチへの対応こそが、私たちがDevSecと呼ぶものを生み出したイノベーションなのです」と彼は語った。

ネア氏は、開発者が実践としてセキュリティに直面することはほとんどないと述べた。

「コンピュータサイエンスの学校ではセキュリティを教えていない」と彼は言った。

シノプシスのシニアソフトウェアソリューションマネージャー、マイケル・マグワイア氏も同意すると述べた。

「私は開発者としてキャリアをスタートさせましたが、大学ではセキュアコーディングについて全く学びませんでした。セキュアコーディングは最近話題になりつつあると思いますが、今まさにこのようなコードを多く書いている開発者は、おそらくセキュリティについてあまり気にしていないでしょう。なぜなら、セキュリティについて教えられていないからです。私自身は全く気にしていませんでした。なぜなら、開発者の仕事の優秀さは、バグ修正やチケット処理をどれだけ早く、質の高い形で完了させられるかで決まるからです」とマグワイア氏は述べた。

同氏は、開発者はアプリケーションのセキュリティをより重視するよう求められているため、ツールは開発者の現状に応える必要があると述べた。

「我々はそこへ向かっている。そしてそこには多くの選択肢がある」とマグワイア氏は語った。

Tagged:

Related News