アプリケーション・セキュリティ、迅速な開発、継続的デリバリー(CD)の相反する要求をバランス良く満たすことは容易ではありません。開発するソフトウェアは複雑化が進む一方で、納期はますます短くなっています。開発チームにもセキュリティに対してより一層の役割が求められる中、その取り組みを成功させるには最適化されたツールが欠かせません。これまで品質、イノベーション、スピードにこだわってきた開発チームおよびDevOpsチームは、ここにセキュリティという要素を加えていく必要があります。
開発者は、現在のワークフローを変えずにアプリケーション・セキュリティをサポートできることを求めています。パイプラインでリスクを自動的に検知し、IDE内で直接オンデマンドのテストを実行して修正ガイダンスを得ることで、問題を迅速に解決できます。
セキュリティ・チームの目が届かないところでもセキュリティを維持することが重要です。ソフトウェア開発ライフサイクル(SDLC)の各ステージでAppSecポリシーと連動した継続的テストを実施し、そこから得られる知見により、何が優先的課題なのかを即座に理解できます。セキュリティをプロジェクトやビジネスに合わせてシームレスに拡張できるため、柔軟な発展が可能です。
セキュリティは全員の責任ですが、開発者の主な役割ではありません。セキュリティ・テストとクローズド・ループ・フィードバックを統合することでサイロ化を解消し、リスクを可視化できます。チームのセキュリティ・スキルを高めることで、問題を作り出さない、または後工程にプッシュする前に修正することが可能です。
納期間際のセキュリティ・テストで不具合が見つかると、手戻りの大きなコストと納期の遅れが発生します。ブラック・ダックの、開発チームおよびDevOpsチーム向けソリューションは、生産性やスピードを犠牲にすることなくセキュリティと品質をSDLCに組み込むことにより、このような問題を解消します。
開発者が作成しているコードや、プロジェクトに組み込んでいるオープンソース・コンポーネントに存在するセキュリティ上の不具合をリアルタイムに解析し、その結果をIDE内に直接提示します。サイバーセキュリティ・リサーチセンター(CyRC)提供の実践的な修正ガイダンスにより問題を迅速に解決できるほか、簡潔な開発者向けセキュリティ・トレーニングにより問題の発生そのものを防ぐことができます。
AppSecテストは必ずしもパイプラインを止めるものではありません。拡張性と柔軟性に優れたAppSecプラットフォームを使用してSDLCおよびCI/CDパイプラインの全段階にテストを統合すれば、変更箇所のみ、または出荷が迫ったプロジェクトのみを対象に必要なテストを実行できます。セキュリティ・リスク・ポリシーはAppSecチームに任せ、開発者は最も重要性の高い問題の修正に専念できます。
既存の機能テスト(手動または自動)に変更を加えることなく、脆弱性やセキュリティ設定のミスなど、実行時にのみ顕在化する悪用可能な状態についての知見を得ることができます。インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)は、本番移行前の実行時テストのバックグラウンドでアプリケーションの挙動を監視し、結果を自動で検証してくれるため、誤検知の追跡に無駄な労力を奪われることがありません。
往々にして、開発者にはセキュアなソフトウェアの設計と構築、またはプロジェクト内での問題の迅速な修正に必要なトレーニングや経験が不足しています。ブラック・ダックは、チームが使用しているテクノロジーに関連した内容のみを厳選した開発者向けセキュリティ・トレーニングやセキュア・コーディング教育を、チームの規模に合わせて実施します。また、セキュリティ・テストで検出された問題に対して、リスク度に応じたモジュールをIDE、課題管理ツール(Jiraなど)、およびブラック・ダックASTソリューション内で直接アクセス可能な形で自動的に推奨します。