The Source人工知能
記事

ガードレール付きの高速化:AI、自動化によるセキュリティとスピードのトレードオフ解消

「ガードレール付きの高速化」があなたにとって何を意味するのか、そしてDevSecOpsプラットフォームの機能が、セキュリティとスピードに対するニーズをどのようにサポートするのかをご紹介します。

2023年4月24日8分で読めます
Dave Steer
Dave Steer

テクノロジーチームは激しいプレッシャーにさらされています。リソースに制約がある中でも、イノベーションを推進し顧客に価値を提供するため、アクセルを踏み続けなければなりません。さらに、現代の開発環境において無数に存在するインテグレーションやアドオンを含むソフトウェアサプライチェーンを保護しながら、これらを実現する必要があります。

この状況は過酷です。セキュリティエンジニアは圧倒的に不足しています。あるお客様によると、デベロッパー100人に対してセキュリティエンジニアはわずか1人しかいないとのことです。これに加えて予算の削減もあります。2023年度GitLabグローバルDevSecOpsレポート:犠牲のないセキュリティによると、回答者の85%がセキュリティ予算は横ばいまたは削減されていると回答しており、その結果、スピードと利便性がセキュリティとコンプライアンスよりも優先される状況が生まれています。

しかし、このような状況が当たり前である必要はありません。

私たちはガードレール付きの高速化というシンプルな理念を信じています。人工知能技術と自動化ソリューションはコード作成を加速させ、包括的なDevSecOpsプラットフォームと組み合わせることで、すべての企業に必要なセキュリティとコンプライアンスのガードレールを構築します。ガードレール付きの高速化とは、迅速なソフトウェアイノベーションの必要性と安全なソフトウェア開発の必要性を天秤にかける必要がなくなることを意味します。ガードレール付きの高速化は、AIと自動化がコード作成の領域を超えて拡張される世界でのみ実現されます。実際、当社のグローバルDevSecOpsレポートでは、デベロッパーの62%がコードチェックにAI/MLを使用していると回答し、65%のデベロッパーがテスト作業でAI/MLを使用している、または今後3年以内に使用予定であることが判明しています。

DevSecOpsチームが直面するリソース制約を考慮すると、自動化と人工知能は戦略的リソースとなります。当社のDevSecOpsプラットフォームは、ポリシーの自動実行、コンプライアンスフレームワークの適用、GitLabの自動化機能を使ったセキュリティテストの実行、AIアシストによる推奨事項の提供を通じて、チームが重要なギャップを埋めることを支援し、リソースを解放します。

過去数か月間で、私たちはこの理念を実現するため、数多くの新機能を導入してきました。その一部をご紹介します。

コード提案によるベロシティ向上

毎日、数百万人のデベロッパーがGitLabを使ってコードをコントリビュートしています。2月にコード提案機能のベータ版をリリースして以来、より多くのデベロッパーにコード提案をご利用いただけるよう努力を重ねてきました。ベータ版では、コード提案はすべてのUltimateおよびPremiumのお客様に無料で提供されます。GitLabのコード提案は、頭の切り替えを行うことなく、単一のDevSecOpsプラットフォーム内でデベロッパーの生産性、集中力、イノベーションを向上させることができます。

code-suggestions

コード提案は、ソフトウェア開発ライフサイクルのあらゆる側面にAI/MLを組み込むという私たちの取り組みの出発点に過ぎません。 レビュアーの推奨と併せて、毎週木曜日にこれらのAI/ML搭載機能のプレビューをブログで共有する週次シリーズを実施しています。

AIアシストによる脆弱性ガイダンス

当社のグローバルDevSecOpsレポートによると、DevSecOpsプラットフォームを使用していないセキュリティ担当者は、修正を実行できる人材の特定に苦労し、脆弱性の検出結果を理解することが困難であると考える傾向が高いことが分かりました。そこで、チームが特定のコードベースにおいて脆弱性を修正する効果的な方法を特定できるよう、大規模言語モデルの説明能力を活用したGitLab AIアシスト脆弱性推奨機能を実験的機能としてリリースしました。この機能は、基本的な脆弱性情報とお客様のコードから得られるインサイトを組み合わせて、脆弱性をコンテキストに沿って説明し、どのように悪用される可能性があるかを実証し、修正例を提供します。初期テストでは、脆弱性の修正方法を決定するまでの時間短縮において大きな成果が期待できることが示されています。

gitlab-Improper Restriction-XXE

これは、デベロッパーの生産性とソフトウェアデリバリーの効率性向上を目的として、過去数か月間で共有してきた数多くの実験的AIアシスト機能のひとつに過ぎません。

バリューストリームダッシュボードで新たなレベルの可視性を実現

AIが生産性を加速させる中、可視性と透明性の重要性がこれまで以上に高まっています。新しいバリューストリームダッシュボードは、意思決定者がソフトウェアデリバリーを最適化するためのトレンドやパターンを特定できるよう、メトリクスに関する戦略的インサイトを提供します。このデータは、DORA4メトリクスと、プロジェクトおよびグループ全体の価値提供フローに基づいています。

バリューストリームダッシュボードは、サードパーティツールを購入・保守する必要なく、ソフトウェア開発ライフサイクルのあらゆるステップにわたって可視性を提供します。その結果、GitLab内で使用するツール数を削減し、可視性と透明性を向上させることができます。

ライセンスポリシーの設定とソフトウェアライセンスのスキャンによるコンプライアンス確保

互換性のないライセンスを持つソフトウェアを使用してライセンス違反や侵害を行うと、高額な訴訟につながったり、問題のあるコードを削除するためにデベロッパーの多大な工数が必要になったりする可能性があります。当社は最近、ライセンス承認ポリシーとともに、新しく改良されたライセンスコンプライアンススキャナーをリリースしました。新しいスキャナーは、デュアルライセンスまたは複数のライセンスが適用されるパッケージからライセンス情報を抽出し、500種類以上の異なるライセンスを自動的に解析・識別します。これは、以前の20種類のライセンスのみの識別から大幅に向上したものです。 ライセンス承認ポリシーは、未承認ライセンスが使用されるリスクを最小限に抑え、組織がコンプライアンスを手動で確保するための時間と労力を削減します。

set-license-policy

dependencies list

シークレット漏洩の保護

最近の一連の攻撃では、ソースコード内に漏洩したパーソナルアクセストークン(PAT)が原因として特定されました。GitLabシークレット検出なら、このような漏洩を防ぐことができます。現在、公開GitLabリポジトリに漏洩したPATを自動的に失効させることで、デベロッパーが誤ってPATをコードにコミットするリスクを緩和しています。この機能は、GitLabユーザーとその組織を認証情報の漏洩から保護し、本番環境のアプリケーションに対するリスクを軽減します。

personal-access-token

私たちは、GitLab管理の認証情報の修正だけに留まりません。現在、認証情報を失効させるか、それを発行したベンダーに通知することで、公開プロジェクトで流出したシークレットへの対応をサポートしています。 デベロッパーが使用する可能性のあるシークレットを保護するため、どのSaaSベンダーでも参加できるサポート対象ベンダーのリストを積極的に拡大しています。

セキュリティポリシーの自動適用

さまざまなプロジェクトやコードコミットに対してセキュリティポリシーを手動で適用することは、時間のかかる作業です。ポリシー適用の自動化により、適切な承認なしにセキュリティルールが回避されることを防ぐことができます。セキュリティチームは、さまざまなチーム(QA、ビジネス、法務など)からの複数承認者の要求、2段階承認プロセス、ポリシー外ライセンス使用の例外承認などのポリシールールを設定できます。このようなポリシーは、グループまたはサブグループレベルで複数の開発プロジェクトに適用でき、単一の集約されたルールセットを容易に保持することができます。

enforce-policies-approvals

セキュリティテストにおける誤検出の回避

GitLab 2023年グローバルDevSecOps調査によると、セキュリティ専門家は、過多な誤検出が主要な不満の上位3つに含まれると回答しています。当社のDAST APIアナライザーは、より高精度になり、誤検出を推定78%削減することで、DevSecOpsチームが真のセキュリティ脅威に集中しやすくしています。

dast-vulnerabilities

また、コンプライアンス追跡と監査報告の改善を目的として、脆弱性が解決された理由を追跡するための脆弱性の却下理由を導入しました。

vulnerability-dismissal

当社は、お客様がガードレール付きの高速化を実現できるよう、数多くの新機能を導入してきました。この90秒の動画で、GitLabがエンドツーエンドのソフトウェアサプライチェーンをどのように保護するかをご覧ください。

より高い開発速度、より多くのガードレールが近日登場

GitLabは2023年に向けて、お客様のソフトウェア開発ライフサイクルにセキュリティをより簡単に統合し、安全なコードをより容易かつ効率的に提供できるようにする野心的なロードマップを策定しています。近日リリース予定の機能は次のとおりです。

  • グループおよびサブグループレベルの依存関係リストは、ユーザーがプロジェクトの依存関係を簡単に確認できる方法を提供します。数百のプロジェクトを抱える組織では、プロジェクトレベルでの依存関係管理が困難になる場合があるためです。
  • コンテナと依存関係の継続的なスキャンは、新しいセキュリティ勧告が公開されるかコードが変更されるたびに、新しい脆弱性を自動的にスキャンすることで、脆弱性検出の可視性と適時性を向上させます。
  • コンプライアンスフレームワークの管理ツールにより、お客様は既存のプロジェクトや複数のプロジェクトに対してコンプライアンスフレームワークを一括適用できます。現在、お客様はプロジェクト単位でコンプライアンスフレームワークとポリシーを個別に適用することができます。
  • SBOMの取り込みにより、GitLabはサードパーティツールからCycloneDXファイルをインポートして、ソフトウェアのすべての依存関係の統一ソースを作成し、システム全体の可視性向上と実行可能なインサイトの生成を実現します。

__ セキュア・バイ・デザインの原則で安全にベロシティを向上させる方法をご覧ください。__

次のステップ

デジタル時代のアプリケーション・セキュリティ

世界各地のDevSecOpsの専門家5,000名を対象に行った調査結果を読み、組織がアタックサーフェス(攻撃対象領域)の増加にどのように取り組んでいるか、またセキュリティとAIに対する姿勢がどのように変化しているかをご覧ください。

レポートを読む
common.faq
主要なポイント
  • テクノロジーチームは、限られた予算とセキュリティエンジニアの不足により、リソースの制約とセキュリティ課題に直面しています。
  • GitLabのDevSecOpsプラットフォームは、AIと自動化を活用し、スピードを犠牲にすることなく、セキュリティの強化、規制コンプライアンスの合理化、デベロッパーの生産性向上を実現します。
  • バリューストリームダッシュボードは、意思決定者がソフトウェアデリバリーを最適化するためのトレンドやパターンを特定できるよう、メトリクスに関する戦略的インサイトを提供します。

関連リソース

ガイド
DevSecOpsにおいてAIの活用を進める今すぐアクセス
ガイド
ソフトウェア開発でAIを使用する方法今すぐアクセス

The Sourceニュースレター

ソフトウェア開発の未来への洞察に関する最新情報を入手しましょう。