MSYS

丸紅情報システムズ メビうさ
ご意見・ご感想はこちら

ちょっと真面目に語ります @検証チーム

丸紅情報システムズ 検証チームによる、検証ソフトのご紹介・
メーカー記事のご紹介・技術ノウハウ・つぶやき等を日々更新しております。

丸紅情報システムズ メビうさ
  • TOP
  • コードセキュリティテストでのDevSecOpsの実装

2023.06.06 | Klocwork Embold SRM

コードセキュリティテストでのDevSecOpsの実装

今回は、静的ソースコード解析ツールの目線からDevSecOpsについて解説したいと思います。

開発者の懸念は、デジタルインフラのセキュリティに集約されるべきではありません。
ソースコードのセキュリティも重要です。

特定のアプリやプラットフォームは、企業のキャッシュフローにアクセスできます。
例を挙げると、取引および銀行のソフトウェアスイートです。
悪意のある人がこれらのソリューションをハッキングした場合、攻撃者が企業の資金を盗む可能性があるため、その影響には評判の損失以上のものが含まれます。

コード検証ツールスイート(SAST、DAST、IAST、等)を利用することで、ソフトウェアエンジニアは、製品リリース時に発見されたコードの脆弱性の修正に関連するアクションや費用を除外できます。 企業は、コードセキュリティがいかに重要であるかを理解する必要があります。この問題を無視する企業は、将来発生するバグを修正するために資金やその他の資産を投資することになります。

ソースコードがセキュリティ要件に準拠していない限り、ソフトウェア開発は安全ではありません。
アプリが設計される際にバグがないかテストするために、独立したクラスのユーティリティが用意されています。
このようなツールは現在増加傾向にあり、その性能も向上しています。この改善は、部分的には、規制の枠組みがますます厳しくなっていることに起因しています。

有償ソフトウェアは、詳細なアドバイザリー機能を提供する傾向があります。
多くの場合、問題にフラグを立てるだけでは不十分であるため、これは不可欠です。
障害のあるコードを自動的にデバッグするためのすべてのステップを含め、フォローアップの詳細も必要になる場合があります。
このようなスイートのベンダーは、ユーザーフレンドリーな脆弱性仕様と便利なアドバイザリツールをスキャナーに統合するために、かなりのお金と作業時間を費やす必要があります。オープンソースのソフトウェア開発者は、そのような機能を持たない傾向があります。

これらのスイートは、すべて特定のDevSecOpsステージで機能します。
SASTは、安全なコーディングの出力を促進し、開発するソフトウェアの設計を設定するのに対し、DASTとIASTは、ソフトウェアのテストとエンジニアリングの段階で役に立ちます。これらのソリューションのどれもが、コードの安全性を完全に保証するわけではありませんが、慎重にコンパイルされたスイートを適用することで、かなり強力な保護が可能になります。最適なテストツールの選択は、システムにおけるクライアントの権利、つまり、ユーザーがコードを扱う特権を持っているか、アプリを実行することしかできないか、に左右されます。

このように、静的テストは、開始するのに良いポイントであり、代替ツールも考慮する必要があります。
コーディングに対するアプローチは組織によって異なりますが、コードセキュリティを重視するならば、静的テストは間違いなく重要なソリューションの1つです。 SASTとDASTは互いに競合するものではなく、企業はITセキュリティを強化するためにこれら2つのアプローチから利益を得る必要があります。 ある種の欠陥の検出は静的スキャンでのみ可能であり、他の脆弱性は動的でしか見ることができず、検出すべきバグの中には複合的なアプローチが必要なものもあります。

ITプロフェッショナルとコーダーの間の高度な連携は、展開するコードをテストするツールに大きな影響を及ぼします。
開発者は、セキュリティ上の欠陥の影響を評価する方法と、検出された脆弱性をすぐに修正するかどうかについての独自のビジョンに固執します。

セキュリティ上の欠陥のデータベースは、場合によっては相互に受け入れ可能な分母を提供するかもしれません。
しかし、最も究極的なリストであっても、特定のコーディング環境に適合するとは限りません。
また、各プログラムはそれぞれ異なる脅威モデルを持ち、セキュリティ上の欠陥の影響評価は特定のソフトウェア開発フレームワーク内で実施されなければなりません。 パッチを適用する脆弱性に優先順位を付けるには、インタラクティブな分析が必要です。
また、ソフトウェア開発の初期段階で、その機能やアーキテクチャを形成する際に、セキュリティ上の制限を設ける必要があります。

ビジネスマネージャーは、ミスが自動的にセキュリティ侵害につながるわけではないことを認識する必要があります。
コーダーと適切にコミュニケーションをとるために、契約主は、該当する国際的な参考文献やその他の情報源を含む、発見された問題に固有の標準化されたデータの最大量を提出する必要があります。

規制の枠組みは、コードのセキュリティに対して、より厳しい要求を課すことになります。
開発者が直面する最大の懸念は、かつてはコードのパフォーマンスでしたが、これはもはや事実ではありません。
今日、関係する企業にニーズに合ったツールを提供するために、コーダーはITインフラを越えて、コードのセキュリティを強化することを考える必要があります。

関連
リンク

開発者のための静的ソースコード解析 Klocwork
ソフトウェア分析プラットフォーム Embold
脆弱性管理の統合プラットフォーム SRM
丸紅情報システムズ メビうさ
技術本部 アプリケーションサービス技術部 加藤 剛宏

技術本部 アプリケーションサービス技術部加藤 剛宏

ふらっと一人日帰り飛行機旅に出かけるとあるエンジニアです
(家族にはお土産必須 泣)。

丸紅情報システムズ株式会社 丸紅情報システムズ株式会社
丸紅情報システムズ メビうさ

  • CATEGORY

    Eggplant

    Embold

    Klocwork

    Cybellum

    SRM

    展示会

    その他

  • LINK

    テスト自動化ツールEggplant

    ソフトウェア分析プラットフォームEmbold

    静的解析ツールKlocwork

    ソフトウェア脆弱性管理
    プラットフォーム    Cybellum

    アプリケーション・セキュリティ
    脆弱性管理の統合プラットフォーム    SRM

  • 丸紅情報システムズ メビうさ
  • お問い合わせ
  • ご利用条件
  • 個人情報保護方針
  • 情報セキュリティ基本方針
  • 丸紅情報システムズ公式サイト

Copyright © MARUBENI INFORMATION SYSTEMS CO.,LTD.