概要
DevSecOpsは、セキュリティを最後に付け足すのではなく、初めからソフトウェアデリバリーに組み込みます。当社は、シークレットスキャン、SAST、ソフトウェアコンポジション解析、コンテナスキャンを含む自動セキュリティテストをパイプラインに組み込み、サプライチェーンの完全性チェックを追加し、リスクのある変更が早期に検出されるようポリシーゲートを定義します。セキュリティは、開発と運用にまたがる共有された自動化された責任になります。パイプライン全体を通じて自動化されたセキュリティとサプライチェーンの制御を組み込むことで、本番に届く脆弱性が減り、SOC 2、ISO 27001、EU CRAといったフレームワークに必要な監査可能な証拠が得られます。
方法論&標準
NIST Secure Software Development Framework(SSDF、SP 800-218)、サプライチェーンの完全性のためのSLSAとsigstore、OWASP DevSecOpsガイドライン、パイプラインに統合されたSASTとSCA。当社のsecure-code-reviewおよびsoftware-composition-analysisのサービスと連携します。セキュリティゲート、署名されたアーティファクト、継続的なポリシー検証はコードとして追跡され、パイプラインの進化に伴って制御が有効であり続けることについて、測定可能で監査可能な保証を提供します。
含まれる内容
提供される成果物
よくある質問
適切に行えばそうはなりません。当社はスキャナを、ノイズではなくポリシーに関連する真の問題を指摘するようチューニングし、キャッシュとともに並列で実行し、結果を開発者がすでに作業している場所に表示します。目的は、誰もが無視を覚える警告の壁ではなく、問題をソースで修正する高速なフィードバックです。
DevSecOpsは、パイプライン内の自動化された継続的な背骨です。当社のsecure-code-reviewサービスは、ツールが推論できないロジックとアクセス制御の綿密な手動分析を加え、software-composition-analysisはSBOMと依存関係リスクのビューを提供します。両者で、幅と深さの両方が得られます。
自動スキャン、SBOM、アーティファクト署名、ポリシーゲートは、SOC 2、ISO 27001、EU CRAにマッピングされる継続的で監査可能な証拠を生成するため、コンプライアンスは別個の手作業ではなく、パイプラインの副産物になります。
はい。現在のGitHub Actions、GitLab CI、Jenkinsのパイプラインにセキュリティのステップを追加し、お客様のリスクプロファイルに合わせてチューニングします。これにより、チームがすでに構築・リリースしている方法を乱すことなく、段階的にカバレッジを得られます。