開発者に優しい DevSecOps のヒント 5 つ

開発者に優しい DevSecOps のヒント 5 つ

ここでは、セキュリティ ツールを使いやすくして、より安全な製品をより早くリリースできるようにすることに重点を置いて、開発者の DevSecOps エクスペリエンスを向上させる 5 つのヒントを紹介します。

開発者に優しい DevSecOps のための 5 つのヒントからの翻訳です。著者の Nick Liffen は GitHub のシニア セキュリティ ディレクターです。彼は、「左に曲がる」だけでは十分ではなく、GitHub が行うすべてのことにおいて開発者を最優先にすることが、現実的な成功を推進する鍵であると考えています。

DevSecOps は、セキュリティをソフトウェア開発ライフサイクル (SDLC) の中心に据え、リスクの軽減、修復コストの削減 (IBM の報告によると、DevSecOps の導入率が高い組織は最大 168 万ドルを節約できる)、より高速で安全な製品リリースなどのメリットをもたらします。しかし、DevSecOps には多くの利点があるにもかかわらず、開発者は断片化されたツール統合や日常的な DevSecOps 実践における追加の責任から生じる課題に直面することが多く、SDLC はより複雑で困難なものになっています。

DevSecOps 戦略は、セキュリティの責任をサイロ化するのではなくチーム間で分散するように設計されているため、セキュリティが開発者エクスペリエンスの自然な一部であることを保証することが、そのメリットを十分に享受するために重要です。ここでは、セキュリティ ツールを使いやすくして、より安全な製品をより早くリリースできるようにすることに重点を置いて、開発者の DevSecOps エクスペリエンスを強化するための 5 つの推奨事項を紹介します。

1. 既存のワークフローにセキュリティを組み込む

多くのセキュリティ ツールはセキュリティ専門家向けに構築されているため、既存の開発者ワークフローに単純に追加するだけで摩擦が生じる可能性があります。新しいツールを SDLC に統合する場合は、セキュリティ ツールから必要なデータを抽出し、それを開発者のワークフローにネイティブに統合することを検討してください。あるいは、プロセスにすでに組み込まれているツールを探すのがさらに良いでしょう。これによりコンテキストの切り替えが減り、開発者は脆弱性をより早く検出して修正できるようになります。さらに、統合開発環境 (IDE) 内で AI ツールを活用することでプロセスがさらに効率化され、開発者はコーディング環境を離れることなくセキュリティ警告に対処できるようになります。

2. アラートの優先度を設定する

開発プロセスにセキュリティを導入するということはアラートを修正することも意味しますが、開発者にすべてのセキュリティアラートを修正することを要求するだけでは現実的ではありません。大量のアラート、特に誤検知は、開発者のツールに対する信頼を損ない、生産性に影響を与える可能性があります。適切に統合されたセキュリティ ツールには、優先度の高いアラートを開発者に直接表示するアラート システムが必要です。たとえば、カスタムおよび自動分類ルールに基づくアラート設定、フィルター可能なコード スキャン アラート、アラートを破棄する機能などにより、より効果的なアラート システムを構築できます。これにより、開発者は不要なノイズに圧倒されることなく緊急のセキュリティ問題に迅速に対処できるようになり、最終的には組織のセキュリティ負債 (時間の経過とともに蓄積すると、修正がより困難でコストがかかる可能性があります) を解消するのに役立ちます。

3. AIと自動化に親しむ

騒々しいアラート、システムの複雑さの増大、限られたリソース、急速に進化する脅威により、開発者が脆弱性に対応することが困難になっています。幸いなことに、AI と自動化は、誤検知を減らし、一貫したセキュリティ チェックを可能にし、セキュリティ プラクティスを拡張することで役立ちます。 AI によって生成されたコード修正と脆弱性アラートにより、修復が開発者のワークフローに統合されます。さらに、AI はオープンソース フレームワークのモデリングを強化して、脆弱性の検出をより正​​確にすることができます。ブランチ保護ルールやステータス チェックなどの自動化機能により、開発者はセキュリティの問題に積極的に対処できるようになります。

4. セキュリティに関する決定に開発者を関与させる

エンジニアリング チームとセキュリティ チーム間のスムーズな連携を確保するには、セキュリティ プロセスとポリシーの決定に開発者を含めることが重要です。新しいツールを実装したりポリシーを変更したりする前に、開発者の視点からフィードバックを求めることが重要です。現在のセキュリティ対策の有効性、ツールがワークフローに与える影響、ツールや対策の提案などについて質問することで、改善のための洞察が得られます。この共同アプローチにより、より開発者志向で安全な環境が促進されます。

5. 安全なコーディングに関する明確な期待を設定する

DevSecOps は、単にツールを導入するだけではなく、明確な期待を確立し、既存のツールを効果的に使用するプロセスである必要があります。ポリシーと安全なコーディング手法を明確に伝えることで、SDLC プロセス全体を通じてセキュリティの一貫した処理が保証されます。組織は安全なコーディング標準を作成し、チーム全体にポリシーを明確に伝えるための推進者を選出する必要があります。このアプローチにより、曖昧さが排除され、開発者のセキュリティに対する意識が高まり、組織全体で DevSecOps 文化が育まれます。

DevSecOps モデルでは開発者がより多くのセキュリティ責任を負うようになるため、ユーザー エクスペリエンスの向上が重要になります。開発者の悩みを理解し、それに対処することに投資する組織は、エンジニアリング チームとセキュリティ チーム間のパートナーシップ強化による恩恵を受け、安全なコードを迅速に提供できるようになります。開発者を第一防衛線として強化することで、企業は DevSecOps のメリットを十分に実現できます。

<<:  クラウドネイティブの世界でKubernetesを保護する

>>:  RocketMQはKosmosをベースにAZレベルの高可用性を実現

推薦する

Google AdSense がドメイン名広告サービスを停止

3月2日の早朝、Webmaster EncyclopediaはGoogleから、Google Ads...

racknerd: 安価な米国クラスター サーバー、32C セグメント (511 IP)、月額 130 ドルから、Alipay/PayPal 決済

Racknerd は VPS 業界で非常に人気があるだけでなく、同社が提供する米国のクラスター サー...

ウェブサイトの長所と短所を分析する方法

最近、友人から、ウェブサイトの長所と短所を分析し、それをウェブサイトの最適化と宣伝にまで拡張するには...

Baidu の外部リンク ツールが利用可能になりました。SEO 革命が到来します。

Yahoo の外部リンク クエリ ツールが閉鎖されて以来、SEO 業界は外部リンクの数を測定するため...

vmiss: 香港の格安 VPS、年間 10 ドルから、1G メモリ/1 コア/10gSSD/1T トラフィック/500M 帯域幅、Netflix/Chatgpt のブロック解除

格安VPSサービスに特化したvmissは、最近、格安香港VPSに新しい国際回線を追加しました。より正...

企業ウェブサイトネットワークマーケティングの生き残り戦略と更なる努力のためのリソースの獲得方法の分析

経済の発展に伴い、中小企業が生き残るのは困難です。2000年以前は、ネットワークマーケティングのテス...

iniz-シンガポール VPS/リースウェブデータセンター/1000mポート/年間支払い18ポンドから

iniz.com のシンガポール VPS は、実は数日前から市場に出回っているのですが、迂回問題のた...

交通整理は入札促進の中核か?中国企業動態はあなたに体験を提供します

中国企業動態の調査によると、入札促進の核心は交通管理だという。最終的にはトラフィックの需要と供給、つ...

#DoubleTwelve# ZoroCloud: 25% オフ、香港 CN2/米国 CN2 GIA 高防御/米国 9929/ネイティブ IP ロック解除 Tiktok\chatgpt

ZoroCloud は今年の特別なダブル 12 プロモーションを実施し、すべてのクラウド サーバーを...

SEO実践体験:ウェブサイトがKになる問題を解決する方法

1. ブロックされたウェブサイトとは何ですか?ウェブサイトがブロックされると、ウェブマスターはそれを...

ガートナーの調査: クラウド コンピューティングは新たなビジネス リスク

ガートナーの最新の調査によると、クラウド コンピューティングは、リスク、監査、財務、コンプライアンス...

独立したブログにコメントを投稿するときは、nofollowタグに注意してください

コアヒント: この記事では主に、コメント内の nofollow タグがブログのプロモーションに与える...

justvps: 月額 1.54 ドルから利用可能な英国の VPS、1G メモリ/1 コア/20g NVMe/300M 帯域幅/無制限トラフィック

justvps.pro は、今から 1 月 20 日まで、英国ロンドン データ センターの VPS ...

電子商取引の価格戦争の暴露:大手電子商取引企業が教えてくれない10のこと

「JD.com VS Suning Gome」はマーケティング戦争だが、「Suning VS Gom...