Checkmarx は、クラウドネイティブアプリケーションのセキュリティを保護するオープンソースの静的解析ソリューション KICS をリリースしました。

Checkmarx は最近、オープンソースの静的解析ソリューションであるKICS (Keeping Infrastructure as Code Secure) をリリースしました。これにより、開発者はより安全な Infrastructure as Code (IaC) を記述できるようになり、従来のアプリケーションやクラウドネイティブアプリケーションの独自コード、オープンソースコンポーネント、重要なインフラストラクチャセキュリティを保護するための独立したプラットフォームが提供されます。無料ダウンロードアドレス: https://docs.kics.io/getting-started/。 Checkmarxは3月30日午後4時から5時まで、KICSオンラインライブデモンストレーション講演会を開催します。ぜひご参加ください！

+ なぜKICSを開発したのですか?

クラウドネイティブの出現により、最新のアプリケーションの設計、開発、展開方法の概念が完全に変わりました。最終的に、モノリシックアプリケーションは、環境によって制約されない、小さく独立したマイクロサービスに分割されます。オーケストレーションによってこれらが結合され、アプリケーションのスケーラビリティ、信頼性、柔軟性が向上します。

この文脈では、オーケストレーションはマイクロサービスの通信や構成の方法だけでなく、インフラストラクチャの要件や特定の構成についても関係します。つい最近まで、インフラストラクチャと構成は主に手動で提供されていましたが、DevOps 哲学の出現により、自動化が普及し、コードで定義されるようになりました。したがって、 Infrastructure as Code (IaC) の時代が到来しました。

[[389553]]

IaC は、コードによるインフラストラクチャ構成とサービス配信のためのツールとテクノロジーを通じてアプローチを確立します。 Infrastructure as Code の利点には、自動化、べき等性 (テストと本番環境のインフラストラクチャの複製など)、一貫性、自己文書化、コスト削減などがあります。ただし、従来のソフトウェア開発と同様に、Infrastructure as Code は、構成ミスやセキュリティの脆弱性などの問題が発生しやすく、特定のアプリケーションだけでなく、ビジネス全体とその基盤となるインフラストラクチャをより大規模に危険にさらす可能性があります。

KICS (Keeping Infrastructure as Code Secure) のご紹介: 静的コード分析のマーケットリーダーである Checkmarx のオープンソーススタンドアロンエンジンで、ネイティブクラウドアプリケーションのコンテキストで Infrastructure as Code に起因する脆弱性、コンプライアンスの問題、または誤った構成を検出します。公開日時点で、KICS はすでに 1,000 を超えるセキュリティルール (Cx 言語でクエリ) を提供し、複数のクラウドプロバイダー (AWS、Google Cloud、Microsoft Azure など) にわたって Terraform、Kubernetes、Docker、AWS CloudFormation、Ansible をサポートしています。

+ KICS をどのように開発するのでしょうか?

当初、KICS には 50 個のクエリしかなく、プライベートリポジトリに休止状態で保存され、スタンドアロンエンジンとして存在していました。当時、エンジンは少数の IaC ファイルタイプを読み取り、それを内部表現に変換し、結果を JSON 形式で生成することしかできませんでした。

KICS を製品化するために、Checkmarx は、3 か月以内に 1,000 件の REGO/OPA クエリを達成し、2 か月以内に完全にオープンソースにするという野心的な目標を設定しました。

KICSルール - REGOを使用して1,000以上のルールを作成します

2 週間以内に、Checkmarx は優秀な学生グループを募集し、チームに参加して REGO を使用して開発されたルールをさらに作成することに集中しました。

REGO/OPA は、構造化ドキュメントをクエリするための高レベルの宣言型言語です。したがって、IaC スキャンルールを取得する方法としてこれを選択しました。学生たちはすぐに REGO を使用した開発方法を習得し、1 週間未満のトレーニングで、Checkmarx アプリケーションセキュリティリサーチチームが提供する推奨脆弱性リストと説明に従って、ルールと IaC サンプル (クエリごとに 1 つの真陽性と 1 つの真陰性) を作成しました。

1,000 個のルールを作成するという目標は大きな課題でした。私たちはプロセスを設計に合わせて調整し、Rego コードの重複を避けるために再利用可能なリポジトリを作成しました。

興味深いことに、これが完了すると、開発自体ではなく、マージリクエストの承認を得ることが課題になりました。最終期限までに、チームは 1,000 クエリのマイルストーンに到達しただけでなく、それを (約 1,200 上回り) 上回りました。

KICS コア - オープンソースクエリ

コアチームの当初の焦点は、KICS を完全にオープンソースにすることです。

プロジェクトのオープンソースソフトウェアコンサルタントである Lior Kaplan 氏の綿密な監督とアドバイスを受けて、Checkmarx はプライベートリポジトリへの依存を断ち切り、コミット履歴をより適切なレベルに書き直し、Apache 2.0 ライセンスの下でパブリック GitHub リポジトリに移行しました。

https://github.com/Checkmarx/kics。

このプロセス中に、Checkmarx は GitHub Actions を使用して CI パイプラインを構築し、すべての KICS インフラストラクチャを GitHub 環境に保持しました。すぐに、コードマージリクエストに基づいて、パイプラインを通じて一連の検証が実行されます。いくつかの品質面を取り上げます:

コードテストカバレッジ（Codecov を使用）
コード品質 (SonarCloud と Codacy を使用)
コードセキュリティ (Checkmarx の CxSAST と、KICS GitHub アクション経由の当社独自の KICS を使用)

これらの検証はすべて驚くほど高速で、約 1 分しかかかりません。これは、プルリクエストが成功した後に KICS をリリースできる状態にするのにかかる時間です。

各 CI ステップで品質レベルが合格している限り、KICS はいつでもリリースできます。オープンソースのベストプラクティスに従って、以下を作成しました。

ナイトリーリリースは、対応するコミットのハッシュを使用して名前が付けられます。
公式バージョンは、SemVer 標準を使用して 2 週間ごとにリリースされます。

各 KICS リリースには、ベアソース、Windows、Linux、MacOS バイナリ、および DockerHub で入手可能な Docker イメージが含まれています。

KICS 文書 - 富の共有

KICS は、複数の種類の IaC ファイルを分析できる強力なコア機能を備えており、2 週間ごとに継続的にリリースされる数千のセキュリティルールを備えています。

これを実現するために、Checkmarx は Web サイトを構築し、それを AWS に保存しました。しかし、これは単なるきれいなログインページです。ドキュメントサイトは、MkDocs を通じてマークダウンファイルに基づいて動的に生成されます。詳細については、GitHub ページを参照してください。

Checkmarx は、ロードマップや使用方法や貢献方法に関する説明など、プロジェクトのあらゆる側面を網羅し、KICS ドキュメントを可能な限り明確でわかりやすいものにするよう努めてきました。さらに、Gitterを使用したKICSコミュニティを構築しました。一部の人々はコメントし、質問し、即座にフィードバックを提供し始めました。

KICS管理——アジャイルかつ標準化

チームはカンバン管理方式に従ってアジャイルな方法で作業します。 GitHub の統合管理機能を簡単に利用できるため、この方法で作業を管理するのは簡単になります。

Checkmarx は、作業を小さなプロジェクトに分割し、対処すべき問題や要求をより適切に整理するために、それぞれの目標を設定します。それぞれの未解決の問題には、バグ、機能、セキュリティ、クエリ、機能強化などのラベルが付けられ、その性質を理解しやすくなります。

KICS ユーザーからの貢献をガイドし、より適切に管理するために、Checkmarx は脆弱性、機能、新しいクエリ、およびコードマージリクエストのテンプレートを定義しました。テンプレートを使用すると、重要な情報を取得し、最終的に記述された作業の品質を標準化できます。

全体として、KICS はアーキテクト、開発者、DevOps、マネージャーで構成される多分野にわたるチームです。現在、一部のフォロワーが KICS にさらなる貢献やフィードバックなどを提供しています。Checkmarx は、さらに多くのユーザーからのご意見をお待ちしています。

ぜひCheckmarx製品をご利用ください。 KICS を無料でダウンロードして、フィードバックをお寄せください。最も詳細なフィードバックを提供した最初の 30 名様には、1,000 人民元相当の JD バウチャーをプレゼントします。

さらに、Checkmarx は 3 月 30 日の北京時間午後 4 時から 5 時まで、KICS のライブオンラインデモンストレーションを実施し、オンラインで質問に回答します。皆様のご参加を心よりお待ちしております！

[編集者：張燕妮 TEL: (010) 68476606]

<<: クラウドコンピューティングのよくある 7 つの問題とその解決方法

>>: HDC.Cloud 2021展望: ファーウェイは6つの主要な革新的な製品とテクノロジーをリリースし、エコシステムの構築に2億ドル以上を投資します

Checkmarx は、クラウドネイティブアプリケーションのセキュリティを保護するオープンソースの静的解析ソリューション KICS をリリースしました。

+ なぜKICSを開発したのですか?

+ KICS をどのように開発するのでしょうか?

検索エンジンの包含基準の1つ: ウェブサイトのリンクの人気度

SEO: 権威の高いドメイン名を有効活用する

Google 広告アカウントの最適化: 低予算で高い成果を実現

この記事を読んだ後、JVMクラスローディングの仕組みが分からないなんて言わないでくださいね〜

Yecao Cloud: 香港専用サーバー 299元/月、香港VPS 年払い 138元、全トラフィック無制限

入札ウェブサイトがますます増える中、ウェブマスターは何をすべきでしょうか?

かつては女性ネットキャスターが月に数万元を稼いでいたが、「浄化」キャンペーンの後、収入を止めた。

草の根ウェブマスターを起業家ウェブマスターに変える方法

firstbyteはどうですか？ブルガリアソフィアデータセンター VPS レビュー

サイトのコンバージョン率を改善できない主な理由について説明します。

推薦する

企業のウェブサイトはどのようにして B2B プラットフォームの価値を活用できるのでしょうか?

「百度のアルゴリズム変更分析とSEO対策」を読んでの感想

vsyshost: ウクライナ VPS/オランダ VPS、苦情防止、月額 18 ドル、帯域幅 1Gbps、トラフィック無制限

車のインターネットがビジネスイノベーションを加速

WordPress 用のパーソナライズされたユーザーフレンドリーな 404 ページを作成する方法

3年間の運営経験: タオバオSEOランキング最適化のヒント

Xicun の「2020 Automotive CXO Salon」を訪れて、インテリジェンスをアップグレードする方法について話し合いましょう。ファーウェイクラウドが自動車業界に新たな勢いをもたらす

ユーザーの真のニーズを深く理解することで、半分の労力で2倍の結果を達成できます。

YYを「密かに」店頭から撤去し、匿名ソーシャルアプリ「プライベートサークル」を立ち上げた

2019 年のデータセンターの 5 つのトレンド: エッジコンピューティングが変化を推進

サイト分析に欠かせないIISログ分析について簡単に説明します。

興味深いブラックハットSEOテクニックの紹介

kvmla-シンガポールVPS、日本VPS、香港VPS、米国VPS、すべて20％オフ

アリババはクラウドネイティブ技術委員会を設立し、クラウドネイティブをアリババの新しい技術戦略にアップグレードしました。

SEOを行うにはデータ分析に精通している必要がある