ブラック・ダックのマチュリティ・アクション・プラン(MAP)は、セキュリティ/開発チームに対して実践的なロードマップを示すことでアプリケーション・セキュリティに関する具体的な課題や目的への対処を支援します。MAPは、アプリケーションのクラウドへの移行、ソフトウェア開発ライフサイクル(SDLC)またはDevOpsの取り組みへのセキュリティの組み込み、オープンソース・リスクの管理などの課題に対処する手順の概要を示します。
MAPでは、まず、セキュリティ・プログラムの人、プロセス、テクノロジの面に関する7つの主要な要素を分析します。
これにより、プログラムの現状を明らかにし、将来の状態を定義し、セキュリティ目標を達成するために必要なコストとリソースの見積りを考慮した計画概要を作成することができます。
監査部門とビジネス・イノベーション部門、開発部門と運用部門など、さまざまなチームの主要な利害関係者間の摩擦要因を明らかにします。
自動化プロセスを規定することで、人手の介在を減らし、ボトルネックを排除して、より重要な課題に集中できます。
組織の潜在能力と現状の能力を測定し、独自のリスク・プロファイルに関連する能力を強化します。
関連する能力のROIについてアクティビティの速度を最適化するための総合的な計画を作成します。
即座の成果と将来に向けてのスケーラビリティとのバランスなど、意思決定に伴う機会コストを明らかにします。
さまざまな分析およびテスト方法による根本原因の特定にかかる平均時間を調べて、最適なテスト・プロセスを決定します。
各セキュリティ能力の影響とプログラムの目標達成に伴うリスクを把握することで、機密性、完全性、可用性を向上させます。
まず、セキュリティ・プログラムの詳細な評価によって現状を把握します。
今後の目標を定義し、現状と目指すべき姿とのギャップを特定します。
目標とする状態を実現するために組織独自の特性から導き出したアクションプランを作成します。
アプリケーションの健全性を把握するには、まず、セキュリティに関わるツール、プロジェクト、人に注目します。セキュリティ体制の全体像を把握することで、セキュリティ・ギャップへの対処を熟慮した計画を立てることができます。
ソフトウェア・セキュリティ・プログラムのMAPは以下の目的の実現を支援します。
アプリケーションをクラウドに移行してもセキュリティを維持できるようにする方法
クラウド・セキュリティMAPは、クラウドネイティブ・アプリケーション(クラウド環境での利用を前提に構築されたアプリケーション)を管理するための明確なセキュリティ戦略を提示します。各クラウド・セキュリティMAPは、業界で認知されているフレームワーク(CIS、NISTなど)と実績あるブラック・ダックのクラウド・セキュリティ・マチュリティ・モデルを使用して開発されています。
クラウド・セキュリティMAPは以下の目的の実現を支援します。
開発生産性とパイプラインの速度向上のためにセキュリティを犠牲にする必要はありません。Black Duck DevSecOps MAPを実装すると、開発の速度を妨げることなく、パイプラインにセキュリティを系統的に統合できます。
DevSecOps MAPでは、段階的なアプローチで以下の目的の実現を支援します。
開発チームは信頼できるオープンソースを使用していますか? オープンソース・ソフトウェア(OSS)MAPは、ライセンスのコンプライアンスを維持し、アプリケーションのリスクを回避して、オープンソース・ソフトウェアを安全に使用・配布するための戦術的なロードマップを提供します。
OSS MAPフレームワークは、オープンソース・ライセンス・コンプライアンスのための国際規格であるOpenChain仕様に準拠しています。
OSS MAPでは、以下の目的の実現を支援します。
ソフトウェア・セキュリティに関するその他のニーズがある場合は、カスタマイズされたMAPを用いてコスト効果の高い効率的な方法でニーズを実現できます。
ソフトウェア開発チーム内でセキュリティ・チャンピオンの研修・育成を行い、セキュリティ・プログラムの導入、成熟、改善を実現する方法を検討します。
セキュリティ指標に基づくアプローチで、効果があった項目、効果がなかった項目、変更が必要な項目を特定します。
既存のCI/CDパイプラインのすべての工程にセキュリティを統合する方法をお教えします。
設計フェーズの早い段階(コードを作成する前)でセキュアな設計プラクティスを実装する方法と実装箇所を特定します。
アプリケーション・ポートフォリオ全体の深度と範囲を把握することで、総合的な観点からセキュリティを管理できます。