すぐに実践すべきDevSecOpsの3つのベストプラクティス

あなたがDevOpsの道のりのどこにいるかにかかわらず、今こそDevSecOpsをこれまで以上に活用するときです。それはなぜでしょうか？活用しないことによるリスクがかつてないほど大きくなっているためです。 Forrester Research社のVPであるAmy DeMartine氏によると、今日アプリケーションは唯一最大のセキュリティターゲットであり、同氏は問題は悪化しており、改善されていないと強調しています。さらに複雑なことに、ガートナー社の調査によればセキュリティへのIT支出は実際には減少しており、2019年では総予算のわずか5.7%となっています。
それだけにとどまらず、DevOps チーム内ではセキュリティの責任を「負う」グループがどこかの認識において混乱が続いています。2020年のグローバルDevSecOps調査ではセキュリティプロフェッショナルの33%がセキュリティについて単独で責任を負っていると回答している一方、全員が責任を負っていると回答したのは29%と、ほぼ変わらない数値でした。

チームのDevSecOpsへのアプローチを一から見直しましょう。以下は、チームがすぐに実行できる3つの戦略です。

コラボレーションは、すべてのプロジェクトの成功の鍵です。 プロジェクトリーダーとセキュリティ担当者が協力し合えるようにしましょう。 リーダーとセキュリティ担当者に一度ミーティング（事前の読み合わせや計画を含む）の機会を与え、このプロジェクト用に記述されたコードによって満たされる必要のある一連のセキュリティ対策を考案し、デベロッパーがコードに対して実行する必要がある自動テストを計画できるようにします。こうした意思決定を共同して行うことでプロセスへの信頼が高まり、「セキュリティバイデザイン」の精神が促進されます。

IBMのRob Cuddy氏は、DevSecOpsを次のレベルに引き上げるために、ジョイントチームに次の3つの重要なコミュニケーション方法を採用するようアドバイスしています。
重大な問題のみを伝えるようにし、AIと機械学習を使ってセキュリティスキャンを検証し、余分なノイズをフィルタリングする。
「オープンソース」というタブーを恐れずに話す。 サードパーティやオープンソースのコードはソフトウェア開発のあらゆる場所に存在しているため、予防可能な攻撃の可能性を減らすには、直接対処することが重要となります。

悪用される前に隠れた問題を見つけて修正し、根本的な問題に迅速に対処。

こうしたステップを実行してチーム間の直接的で率直かつ機転の利いたコミュニケーションを促進しましょう。そうすることで効率的で効果的なDevSecOpsに不可欠な信頼と信用を構築し、維持することができます。

アプリケーションセキュリティに利用できるリソースは限られていることと、そしてビジネスの成功にセキュリティがいかに重要であるかを考えれば、すべてのコードコミット時にテストを実行することは当然の選択と言えるでしょう。テストはプロジェクトや組織の基準を満たすよう一度書かれ、その後すべてのコード変更に対して自動的に実行するのが理想的です。アプリケーションの中で最もカバー範囲が広く、最小限のメンテナンスで済むエリアにテストを集中させるようにします。チームはすべての構造レベルのコードを分析し、アプリの運用パフォーマンスに影響を与えている問題を探す必要があります。コードは安全で、堅牢かつ効率的で、メンテナンスが容易でなければなりません。

SASTや依存関係スキャンなどの予防措置は、コードがマージされる前にコードの欠陥の数を減らし、変更がアプリケーションの他のエリアにどのように影響するかをデベロッパーが理解するのに役立ちます。テスト基準を最初に確立することで、コードを記述しながら参照し、達成するための標準をデベロッパーに提供できるため、コードの全体的な品質の向上にも役立ちます。

テスト結果を懲罰的に使うのは建設的ではありません。単に修正を行うだけでなく、結果を2つの方法で活用できます。
デベロッパーは、より質の高いコードを作るための学習として結果を利用するようにします。

グループでは、テスト結果をスキャンして改善可能なコーディングプラクティスのパターンを探し出し、チームや組織全体のコード品質向上に役立つ標準を作成するようにします。

セキュリティチャンピオンプログラムがDevSecOpsを向上させる理由

GitLabがDevSecOpsを加速する方法

DevSecOpsの現状を理解する