シフトレフト セキュリティについて確認する
"シフトレフト" アプローチが推奨されるのは、テストに関してだけではありません。 同じ考え方がセキュリティの領域にまで及びます。 DevSecOps の原則は、継続的セキュリティとも呼ばれる方法で、DevOps のすべてのフェーズ (計画と開発から始まる) に セキュリティを組み込むことの重要性を伝えるために意図されています。 サンプル シナリオで説明されている組織は、これらの原則を無視することの影響を十分に認識しています。 このユニットでは、セキュリティに対する シフト左 方向のアプローチの意味と、それを実装するための推奨される方法を調べます。
シフトレフト セキュリティとは?
セキュリティのコンテキストでは、Shift-leftはできるだけ早い段階でソフトウェアライフサイクルのプロセスにセキュリティ活動を導入することを意味します。 これは、将来の潜在的な脅威を特定し、リスクを評価し、軽減戦略を定義するために、脅威モデリングを使用してソフトウェア設計にセキュリティを組み込むことから始まります。 このプロセスは、コード レビューや自動セキュリティ テストなど、さまざまなセキュリティ関連アクティビティを実装することで、ソフトウェア開発全体を通じて継続されます。 コード レビューには、セキュリティに重点を置いた評価、セキュリティ上の欠陥の対象、コーディング標準への準拠、潜在的な脆弱性が含まれている必要があります。 自動セキュリティ テストには、静的アプリケーション セキュリティ テスト (SAST)、動的アプリケーション セキュリティ テスト (DAST)、継続的インテグレーション/継続的デプロイ (CI/CD) パイプラインに統合されたソフトウェア構成分析 (SCA) などのタスクが含まれます。
継続的なセキュリティの一部である継続的な監視は、シフトレフトアプローチに適した他の要素の一つです。 その実装には、開発の開始時からログ記録、監視、インシデント対応のメカニズムを適用する必要があります。