0-1-序文 (Intro)
OWASP DevSecOps ガイドラインではセキュリティを実現するための要件に始まりセキュリティテストに終わる従来のアプローチから、ソフトウェアライフサイクルを通じて開発、セキュリティ、運用を統合するアプローチである "DevSecOps" アプローチに移行する方法について説明しています。
このプロジェクトの目標はあらゆる規模の企業が DevOps パイプラインと文化にセキュリティを追加できるように支援することです。 DevSecOps を行う 正しい 方法は一つではないため、気を抜かないことが重要です。
DevSecOps は以下のような方法で "明らかにセキュアなコードを生成する" ことを目指します。
自動化を活用して、開発者への短いフィードバックループを作成する
開発、セキュリティ、運用の間のサイロ (縦割り組織) を破壊する
セキュリティ業務を細分化し、フローを構築する
運用からの脅威インテリジェンスに基づいて意思決定を行う
セキュリティに関する実験と学習の文化を確立する
ソフトウェア開発ライフサイクル全体にわたるセキュリティプロセスを支援するツールがあります。すべての企業は以下のことを確実にするためのプロセスを備えるべきです。
カスタムコードセキュリティ - アプリケーション、API、サーバーレス、モバイル、Infrastructure as Code などのカスタムコードには適切な防御機能があり、脆弱性がないこと
サプライチェーンセキュリティ - プラットフォーム、フレームワーク、ライブラリ、コンテナ、その他のコンポーネント
ランタイム保護 - ソフトウェアへの攻撃を検出し、悪用を防ぐこと
この三つのプロセスをしっかり行うことで、アプリケーションセキュリティに関して比較的良好な状態になります。このドキュメントでは、この三つのプロセスを実現するのにさまざまな役立つ自動化ソリューションについて探っていきます。
目標はパイプラインですべてのツールを使用することではありません。目標はパイプラインからセキュアなコードが出てくるようにすることです。組織の要員、プロセス、テクノロジ、文化に適したツールを選択する必要があります。すべてのツールですべてのテストを繰り返すのではなく、それぞれのツールを得意なことに使いたいと思うでしょう。もちろん、ソフトウェア開発組織はそれぞれ異なりますので、ツールもそのツールを導入する場所も自由に選択できます。
Last updated
