開発者に優しい DevSecOps のヒント 5 つ

開発者に優しい DevSecOps のヒント 5 つ

ここでは、セキュリティ ツールを使いやすくして、より安全な製品をより早くリリースできるようにすることに重点を置いて、開発者の DevSecOps エクスペリエンスを向上させる 5 つのヒントを紹介します。

開発者に優しい DevSecOps のための 5 つのヒントからの翻訳です。著者の Nick Liffen は GitHub のシニア セキュリティ ディレクターです。彼は、「左に曲がる」だけでは十分ではなく、GitHub が行うすべてのことにおいて開発者を最優先にすることが、現実的な成功を推進する鍵であると考えています。

DevSecOps は、セキュリティをソフトウェア開発ライフサイクル (SDLC) の中心に据え、リスクの軽減、修復コストの削減 (IBM の報告によると、DevSecOps の導入率が高い組織は最大 168 万ドルを節約できる)、より高速で安全な製品リリースなどのメリットをもたらします。しかし、DevSecOps には多くの利点があるにもかかわらず、開発者は断片化されたツール統合や日常的な DevSecOps 実践における追加の責任から生じる課題に直面することが多く、SDLC はより複雑で困難なものになっています。

DevSecOps 戦略は、セキュリティの責任をサイロ化するのではなくチーム間で分散するように設計されているため、セキュリティが開発者エクスペリエンスの自然な一部であることを保証することが、そのメリットを十分に享受するために重要です。ここでは、セキュリティ ツールを使いやすくして、より安全な製品をより早くリリースできるようにすることに重点を置いて、開発者の DevSecOps エクスペリエンスを強化するための 5 つの推奨事項を紹介します。

1. 既存のワークフローにセキュリティを組み込む

多くのセキュリティ ツールはセキュリティ専門家向けに構築されているため、既存の開発者ワークフローに単純に追加するだけで摩擦が生じる可能性があります。新しいツールを SDLC に統合する場合は、セキュリティ ツールから必要なデータを抽出し、それを開発者のワークフローにネイティブに統合することを検討してください。あるいは、プロセスにすでに組み込まれているツールを探すのがさらに良いでしょう。これによりコンテキストの切り替えが減り、開発者は脆弱性をより早く検出して修正できるようになります。さらに、統合開発環境 (IDE) 内で AI ツールを活用することでプロセスがさらに効率化され、開発者はコーディング環境を離れることなくセキュリティ警告に対処できるようになります。

2. アラートの優先度を設定する

開発プロセスにセキュリティを導入するということはアラートを修正することも意味しますが、開発者にすべてのセキュリティアラートを修正することを要求するだけでは現実的ではありません。大量のアラート、特に誤検知は、開発者のツールに対する信頼を損ない、生産性に影響を与える可能性があります。適切に統合されたセキュリティ ツールには、優先度の高いアラートを開発者に直接表示するアラート システムが必要です。たとえば、カスタムおよび自動分類ルールに基づくアラート設定、フィルター可能なコード スキャン アラート、アラートを破棄する機能などにより、より効果的なアラート システムを構築できます。これにより、開発者は不要なノイズに圧倒されることなく緊急のセキュリティ問題に迅速に対処できるようになり、最終的には組織のセキュリティ負債 (時間の経過とともに蓄積すると、修正がより困難でコストがかかる可能性があります) を解消するのに役立ちます。

3. AIと自動化に親しむ

騒々しいアラート、システムの複雑さの増大、限られたリソース、急速に進化する脅威により、開発者が脆弱性に対応することが困難になっています。幸いなことに、AI と自動化は、誤検知を減らし、一貫したセキュリティ チェックを可能にし、セキュリティ プラクティスを拡張することで役立ちます。 AI によって生成されたコード修正と脆弱性アラートにより、修復が開発者のワークフローに統合されます。さらに、AI はオープンソース フレームワークのモデリングを強化して、脆弱性の検出をより正​​確にすることができます。ブランチ保護ルールやステータス チェックなどの自動化機能により、開発者はセキュリティの問題に積極的に対処できるようになります。

4. セキュリティに関する決定に開発者を関与させる

エンジニアリング チームとセキュリティ チーム間のスムーズな連携を確保するには、セキュリティ プロセスとポリシーの決定に開発者を含めることが重要です。新しいツールを実装したりポリシーを変更したりする前に、開発者の視点からフィードバックを求めることが重要です。現在のセキュリティ対策の有効性、ツールがワークフローに与える影響、ツールや対策の提案などについて質問することで、改善のための洞察が得られます。この共同アプローチにより、より開発者志向で安全な環境が促進されます。

5. 安全なコーディングに関する明確な期待を設定する

DevSecOps は、単にツールを導入するだけではなく、明確な期待を確立し、既存のツールを効果的に使用するプロセスである必要があります。ポリシーと安全なコーディング手法を明確に伝えることで、SDLC プロセス全体を通じてセキュリティの一貫した処理が保証されます。組織は安全なコーディング標準を作成し、チーム全体にポリシーを明確に伝えるための推進者を選出する必要があります。このアプローチにより、曖昧さが排除され、開発者のセキュリティに対する意識が高まり、組織全体で DevSecOps 文化が育まれます。

DevSecOps モデルでは開発者がより多くのセキュリティ責任を負うようになるため、ユーザー エクスペリエンスの向上が重要になります。開発者の悩みを理解し、それに対処することに投資する組織は、エンジニアリング チームとセキュリティ チーム間のパートナーシップ強化による恩恵を受け、安全なコードを迅速に提供できるようになります。開発者を第一防衛線として強化することで、企業は DevSecOps のメリットを十分に実現できます。

<<:  クラウドネイティブの世界でKubernetesを保護する

>>:  RocketMQはKosmosをベースにAZレベルの高可用性を実現

推薦する

百度のアルゴリズムアップデート:スナップショットが変動し、ランキングが消える

私たち草の根ウェブマスターは、皆、生計を百度に頼っています。百度のアルゴリズムが更新されるたびに、一...

新しいサイトを立ち上げた後に遭遇する可能性のある問題とその対処方法をまとめます

最近、立ち上げたばかりのいくつかの新しいサイトが、次々と伝説のサンドボックスを経験しました。各サイト...

Vagrant をインストールして設定するにはどうすればいいですか?

Vagrant は仮想マシン用の強力なツールです。ここでは、Ubuntu 上で Virtualbox...

ウェブサイトが Baidu によってペナルティを受けた場合、どのような側面を分析する必要がありますか?

ウェブサイトが百度から罰せられた場合、どのような側面を分析する必要がありますか?国内のウェブマスター...

データの課題に対応して、2023年分散ストレージサミットフォーラムが成功裏に開催されました

デジタル経済の時代では、データが爆発的に増加しています。データによれば、中国の年間データ成長率は過去...

独創性は本当に百度の「お気に入り」なのか?

独創性は、ウェブマスターの3分の2の心から消すことのできない影です。今日の大規模ウェブサイトのウェブ...

分散クラウドの CIO ガイド

パブリック クラウドに完全に移行することに消極的な組織は、プライベート クラウドとパブリック クラウ...

伝統的な企業は、インターネットブームの中でどのようにトレンドセッターになれるのでしょうか?

現在、私たちはまだ電子商取引企業と伝統的な企業を別々に扱っていますが、電子商取引と伝統的なビジネスの...

Hostyun の月額 18 元で利用できる 10Gbps の高帯域幅日本 VPS の簡単なレビュー

Hostyunは最近、10Gbpsの大容量帯域幅を備えた日本のVPSを発売しました。価格は月額18ド...

ソフト商品のプロモーションはマーケティングの新たな人気となり、企業の発展を加速し、評判を獲得する

インターネットの急速な普及と発展に伴い、より多くの企業がオンライン チャネルを通じて自社の製品やブラ...

英国やフランスを含む4カ国政府がグーグルの脱税を捜査開始

新浪科技報、北京時間12月11日早朝のニュース、ブルームバーグが月曜日に報じたところによると、フラン...

400 フォンが企業ウェブサイトの主役になった理由について簡単に説明します

昨今、あらゆる分野の発展はインターネットと切り離せないものとなっていますが、企業にとってはなおさらで...