CI/CDと堅牢なセキュリティスキャンがHilti社のSDLCを加速した方法

Hilti社は、プロの建設業界向けの最先端の技術、ソフトウェア、サービスの設計と製造を行う世界的リーダーです。Hilti社のある部門では、特にビジネスユニット向けのツールソリューションに焦点を当てています。このチームは、ガバナンス、リスク、コンプライアンスの規制を満たすソフトウェア開発ツールの分野における顧客向けのソフトウェアを作成しています。Hilti社は、さまざまな地域における規制を遵守するために適切な手順を実施できるように支援します。

2年程前、Hilti社はプロジェクトを再構築するためにソフトウェアプラットフォームを探していました。ソフトウェア機能を社内ですべて管理することはできないことため、以前はソフトウェア開発プロジェクトの一部を外部ベンダーにアウトソーシングしていました。ソースコードは、GitHubを使用する合弁会社が所有していました。Hilti社は合弁会社の大部分を所有していたものの、社内でのソースコードのホスティングは行っていませんでした。社内でCI/CDは行われておらず、チームは最高水準に従ったセキュリティテストも行っていませんでした。ソフトウェアチームはコードを完全に視覚化して管理する必要があったため、この状況は理想的であるとは言えませんでした。

Hilti社の目標は、ソフトウェア開発を社内に移行して、エンジニアリングチームとアーキテクチャチームが適切なレビューを行い、本当の意味でコラボレーションし、他のチームとベストプラクティスを共有できるようにすることでした。Hilti社は最高水準に準拠したソリューションを求めており、理想的にはオンボーディングが簡単で、直感的かつシームレスに統合できるツールを必要としていました。「私たちは自社の管理下に置いてリアルタイムで使用できるツールを導入したいと考えていたため、これは本当に大きな前進でした」と語るのは、Hilti社のガバナンス責任者であるRaphael Hauser氏。中でも優先順位が高かったのは、セキュリティスキャンでした。Hilti社には10〜15の分散したチームがあり、世界中で常に大規模なソリューションに並行して取り組んでいました。そのため、ソフトウェアリリースの準備が整うまでに脆弱性が事前に可視化されるよう、セキュリティを集約して管理する必要がありました。同社が求めていたのは、強力で信頼性の高いセキュリティ機能を備えたツールでした。

開発チームとテストチームはかつて、受け身の状態でバグに対応していました。ツールを使用してパイプライン内に潜む脆弱性を検出できれば、効率性およびワークフローの速度が向上し、デベロッパーに役立ちます。「いったんパッケージを本番環境にリリースしたら、Hiltiにリスクをもたらすコードパッケージを完全に排除したいと考えています。ソースコードを公開することは、コードスキャンの問題ではなく、セキュリティのアクセスの問題です」と、Hauser氏は付け加えています。

さまざまなツールを試して検討した結果、インテグレーションの容易さ、SCM機能、包括的なセキュリティスキャンの面が評価され、GitLabが採用されました。GitLabを導入したことで、高いソフトウェアパフォーマンス基準を維持し、複数のタイプの詳細なスキャンを迅速に行える機能を利用できました。同社では、GitLabの静的および動的アプリケーションセキュリティテスト（SASTとDAST）、コンテナスキャン、依存関係スキャン、シークレット検出、ライセンスコンプライアンスを活用しています。「GitLabは競合他社を大きくリードしています。GitLabはすべての機能が統合されていて、セットアップが簡単で、すぐに使用開始できます」と語るのはソフトウェアデリバリー責任者のDaniel Widerin氏。

Hilti社には、ライセンスレビュー、アプリケーションテスト、ソースコードアクセスなど、従わなければならないコンプライアンス規制があります。同社はコンプライアンスとセキュリティスキャンの面から、GitLab Ultimateを選択しました。「リスクの観点から見て重要となるのは、誰がソースコードに実際にアクセスし、誰がソースコードを管理しているのかなど、セキュリティとIPコンプライアンスに関する現状をより緊密に制御できるようになったことです」と、Hauser氏。

GitLabを導入したことで、Hilti社はソースコードへの完全なアクセス権を持ち、適切に管理できるようになりました。自社コードを所有することでソースコード漏えいのリスクが軽減され、コード変更機能のレベルが向上します。「コード内で実際に何が起こっているのかをより深く理解し、リアルタイムでそれを実行できるようになりました。また、より速いペースでのデリバリーに対応できるように、セキュリティ、コードセキュリティ、IPコンプライアンスに関して、私の承認方法も加速されました」とHauser氏は述べています。

現在Hiltiのエンジニアリングおよびアーキテクチャチームは、テクノロジースタックと互換性のあるSCM、CI/CD、セキュリティダッシュボードにGitLabを使用しています。GitLabを使用することで、複雑なツールを使用する場合よりも迅速に社内でソフトウェアを構築できるようになりました。インテグレーションが容易で、チームはJira、Docker、Amazon Web Services（AWS）と連携しています。 アーティファクト構築やRunnerを含め、GitLabと統合されたすべてのサービスはAWS上で実行され、Kubernetesクラスタにデプロイされます。「GitLabは、マージリクエストを開いた後や、コメントやプッシュをした後に直接フィードバックが得られるよう、ソースコードを使って本当に素晴らしい仕事をしてくれます」とWiderin氏。「基本的に、これらすべてを自分たちで開発する必要はありません。GitLabはスイートのようにバンドルされており、非常に洗練されたインストーラを搭載しています。そしてどういうわけかうまく機能します。これは、ただ立ち上げて稼動させたいと考えている企業にとっては非常にありがたいことです」GitLabの使用でフィードバックループが6日から3日へと50%短縮され、効率性とコラボレーションが向上しました。

チームメンバーは、パイプラインがソースコードに直接統合され、セキュリティスキャンの結果を含むマージリクエストからすぐにフィードバックを得ることができることを高く評価しています。「モバイルアプリやWeb UIを使用しても、作業中にログインしてさまざまなマイクロサービスやコンポーネントをすべて表示できるセンターポイントがあることが非常に人気です」とWiderin氏。 コードチェックは、3か月ごとに6回から週に2回までと大幅に増加し、高品質を維持できています。

開発チームとテストチームがコードを所有し、脆弱性があるかどうかを事前に確認できるようになったため、デプロイ速度が向上しました。GitLabを導入したことで、デプロイ時間が平均3時間からわずか15分に短縮されました。 コード内の脆弱性の深刻度やリリースの許容範囲について、明確なガイダンスが得られるようになりました。「重要な問題が発見されたらすばやく修正でき、リリース前に急に大仕事に取りかかる必要がないため、チームの安定性が高まります。これにより、スプリントの完了後に作業をやり直す必要がなくなります」とHauser氏。