Checkmarx は、クラウドネイティブアプリケーションのセキュリティを保護するオープンソースの静的解析ソリューション KICS をリリースしました。

Checkmarx は最近、オープンソースの静的解析ソリューションであるKICS (Keeping Infrastructure as Code Secure) をリリースしました。これにより、開発者はより安全な Infrastructure as Code (IaC) を記述できるようになり、従来のアプリケーションやクラウドネイティブアプリケーションの独自コード、オープンソースコンポーネント、重要なインフラストラクチャセキュリティを保護するための独立したプラットフォームが提供されます。無料ダウンロードアドレス: https://docs.kics.io/getting-started/。 Checkmarxは3月30日午後4時から5時まで、KICSオンラインライブデモンストレーション講演会を開催します。ぜひご参加ください！

+ なぜKICSを開発したのですか?

クラウドネイティブの出現により、最新のアプリケーションの設計、開発、展開方法の概念が完全に変わりました。最終的に、モノリシックアプリケーションは、環境によって制約されない、小さく独立したマイクロサービスに分割されます。オーケストレーションによってこれらが結合され、アプリケーションのスケーラビリティ、信頼性、柔軟性が向上します。

この文脈では、オーケストレーションはマイクロサービスの通信や構成の方法だけでなく、インフラストラクチャの要件や特定の構成についても関係します。つい最近まで、インフラストラクチャと構成は主に手動で提供されていましたが、DevOps 哲学の出現により、自動化が普及し、コードで定義されるようになりました。したがって、 Infrastructure as Code (IaC) の時代が到来しました。

[[389553]]

IaC は、コードによるインフラストラクチャ構成とサービス配信のためのツールとテクノロジーを通じてアプローチを確立します。 Infrastructure as Code の利点には、自動化、べき等性 (テストと本番環境のインフラストラクチャの複製など)、一貫性、自己文書化、コスト削減などがあります。ただし、従来のソフトウェア開発と同様に、Infrastructure as Code は、構成ミスやセキュリティの脆弱性などの問題が発生しやすく、特定のアプリケーションだけでなく、ビジネス全体とその基盤となるインフラストラクチャをより大規模に危険にさらす可能性があります。

KICS (Keeping Infrastructure as Code Secure) のご紹介: 静的コード分析のマーケットリーダーである Checkmarx のオープンソーススタンドアロンエンジンで、ネイティブクラウドアプリケーションのコンテキストで Infrastructure as Code に起因する脆弱性、コンプライアンスの問題、または誤った構成を検出します。公開日時点で、KICS はすでに 1,000 を超えるセキュリティルール (Cx 言語でクエリ) を提供し、複数のクラウドプロバイダー (AWS、Google Cloud、Microsoft Azure など) にわたって Terraform、Kubernetes、Docker、AWS CloudFormation、Ansible をサポートしています。

+ KICS をどのように開発するのでしょうか?

当初、KICS には 50 個のクエリしかなく、プライベートリポジトリに休止状態で保存され、スタンドアロンエンジンとして存在していました。当時、エンジンは少数の IaC ファイルタイプを読み取り、それを内部表現に変換し、結果を JSON 形式で生成することしかできませんでした。

KICS を製品化するために、Checkmarx は、3 か月以内に 1,000 件の REGO/OPA クエリを達成し、2 か月以内に完全にオープンソースにするという野心的な目標を設定しました。

KICSルール - REGOを使用して1,000以上のルールを作成します

2 週間以内に、Checkmarx は優秀な学生グループを募集し、チームに参加して REGO を使用して開発されたルールをさらに作成することに集中しました。

REGO/OPA は、構造化ドキュメントをクエリするための高レベルの宣言型言語です。したがって、IaC スキャンルールを取得する方法としてこれを選択しました。学生たちはすぐに REGO を使用した開発方法を習得し、1 週間未満のトレーニングで、Checkmarx アプリケーションセキュリティリサーチチームが提供する推奨脆弱性リストと説明に従って、ルールと IaC サンプル (クエリごとに 1 つの真陽性と 1 つの真陰性) を作成しました。

1,000 個のルールを作成するという目標は大きな課題でした。私たちはプロセスを設計に合わせて調整し、Rego コードの重複を避けるために再利用可能なリポジトリを作成しました。

興味深いことに、これが完了すると、開発自体ではなく、マージリクエストの承認を得ることが課題になりました。最終期限までに、チームは 1,000 クエリのマイルストーンに到達しただけでなく、それを (約 1,200 上回り) 上回りました。

KICS コア - オープンソースクエリ

コアチームの当初の焦点は、KICS を完全にオープンソースにすることです。

プロジェクトのオープンソースソフトウェアコンサルタントである Lior Kaplan 氏の綿密な監督とアドバイスを受けて、Checkmarx はプライベートリポジトリへの依存を断ち切り、コミット履歴をより適切なレベルに書き直し、Apache 2.0 ライセンスの下でパブリック GitHub リポジトリに移行しました。

https://github.com/Checkmarx/kics。

このプロセス中に、Checkmarx は GitHub Actions を使用して CI パイプラインを構築し、すべての KICS インフラストラクチャを GitHub 環境に保持しました。すぐに、コードマージリクエストに基づいて、パイプラインを通じて一連の検証が実行されます。いくつかの品質面を取り上げます:

コードテストカバレッジ（Codecov を使用）
コード品質 (SonarCloud と Codacy を使用)
コードセキュリティ (Checkmarx の CxSAST と、KICS GitHub アクション経由の当社独自の KICS を使用)

これらの検証はすべて驚くほど高速で、約 1 分しかかかりません。これは、プルリクエストが成功した後に KICS をリリースできる状態にするのにかかる時間です。

各 CI ステップで品質レベルが合格している限り、KICS はいつでもリリースできます。オープンソースのベストプラクティスに従って、以下を作成しました。

ナイトリーリリースは、対応するコミットのハッシュを使用して名前が付けられます。
公式バージョンは、SemVer 標準を使用して 2 週間ごとにリリースされます。

各 KICS リリースには、ベアソース、Windows、Linux、MacOS バイナリ、および DockerHub で入手可能な Docker イメージが含まれています。

KICS 文書 - 富の共有

KICS は、複数の種類の IaC ファイルを分析できる強力なコア機能を備えており、2 週間ごとに継続的にリリースされる数千のセキュリティルールを備えています。

これを実現するために、Checkmarx は Web サイトを構築し、それを AWS に保存しました。しかし、これは単なるきれいなログインページです。ドキュメントサイトは、MkDocs を通じてマークダウンファイルに基づいて動的に生成されます。詳細については、GitHub ページを参照してください。

Checkmarx は、ロードマップや使用方法や貢献方法に関する説明など、プロジェクトのあらゆる側面を網羅し、KICS ドキュメントを可能な限り明確でわかりやすいものにするよう努めてきました。さらに、Gitterを使用したKICSコミュニティを構築しました。一部の人々はコメントし、質問し、即座にフィードバックを提供し始めました。

KICS管理——アジャイルかつ標準化

チームはカンバン管理方式に従ってアジャイルな方法で作業します。 GitHub の統合管理機能を簡単に利用できるため、この方法で作業を管理するのは簡単になります。

Checkmarx は、作業を小さなプロジェクトに分割し、対処すべき問題や要求をより適切に整理するために、それぞれの目標を設定します。それぞれの未解決の問題には、バグ、機能、セキュリティ、クエリ、機能強化などのラベルが付けられ、その性質を理解しやすくなります。

KICS ユーザーからの貢献をガイドし、より適切に管理するために、Checkmarx は脆弱性、機能、新しいクエリ、およびコードマージリクエストのテンプレートを定義しました。テンプレートを使用すると、重要な情報を取得し、最終的に記述された作業の品質を標準化できます。

全体として、KICS はアーキテクト、開発者、DevOps、マネージャーで構成される多分野にわたるチームです。現在、一部のフォロワーが KICS にさらなる貢献やフィードバックなどを提供しています。Checkmarx は、さらに多くのユーザーからのご意見をお待ちしています。

ぜひCheckmarx製品をご利用ください。 KICS を無料でダウンロードして、フィードバックをお寄せください。最も詳細なフィードバックを提供した最初の 30 名様には、1,000 人民元相当の JD バウチャーをプレゼントします。

さらに、Checkmarx は 3 月 30 日の北京時間午後 4 時から 5 時まで、KICS のライブオンラインデモンストレーションを実施し、オンラインで質問に回答します。皆様のご参加を心よりお待ちしております！

[編集者：張燕妮 TEL: (010) 68476606]

<<: クラウドコンピューティングのよくある 7 つの問題とその解決方法

>>: HDC.Cloud 2021展望: ファーウェイは6つの主要な革新的な製品とテクノロジーをリリースし、エコシステムの構築に2億ドル以上を投資します

Checkmarx は、クラウドネイティブアプリケーションのセキュリティを保護するオープンソースの静的解析ソリューション KICS をリリースしました。

+ なぜKICSを開発したのですか?

+ KICS をどのように開発するのでしょうか?

2014年はTmallにとって戦略的なアップグレードの年

US クラウドサーバー\US VPS 推奨「トップ」販売業者「Bandwagonhost」

携帯電話は互いに競争しています。端末のクラウドサービスもワンストップ化される？

ウェブマスターネットワークからの毎日のレポート：出会い系サイトや結婚サイトがボトルネックに遭遇、Googleが検索インターフェースを微調整

鉄を鍛えるには、自分自身が強くなければなりません。SEROはBaidu Green Carrot 2.0に対処するために自己チェックが必要です

Google、写真バックアップ・共有アプリOdyseeを買収

中国と米国のクラウド大手間の利益格差は拡大している。中国のクラウドコンピューティングはなぜ利益が出ないのか?

ウェブサイト立ち上げ初期段階におけるBaidu最適化戦略の分析

Q&A プラットフォームで外部リンクを構築するための 5 つのヒント

タオバオの顧客になる前に考えるべきことと準備

推薦する

Discuz! 新バージョンは2012年のウェブマスター年次会議で発表され、初めてモジュール化とプラットフォーム化を実現

hudsonvalleyhost - $49/年/VPS/4g メモリ/4 コア/300g ハードドライブ/5T トラフィック

ウェブサイト評価期間中の SEO 最適化の概要

Vultr: クラウドサーバー、50ドル無料、16のデータセンター、いつでも作成および削除可能、Alipayが利用可能

hostens-20 ユーロ/年 VPS/2g メモリ/40g ハードディスク/1T トラフィック/リトアニア

データをクラウドに移行する際に企業にとって最も重要なことは何ですか?

ウェブサイトのホームページでは、ランダムな製品を呼び出して毎日スナップショットを更新しています

企業のウェブサイトがトラフィックを収益化するための重要なリンクは何ですか?

マルチアクセスエッジコンピューティング (MEC) = 未来?

Gouyun：サンノゼcn2 gia vps、30％割引コード、29元から、大規模なトラフィックのユーザーに最適、無料のIP変更+ Windowsシステム

どのようなユーザーエクスペリエンスが検索エンジンのニーズを満たすのでしょうか? （1つ）

ウェブサイトランキングの安定性に影響を与える6つの要素

月額 2.99 ドルの evoxt 香港 VPS はいかがでしょうか?計測したデータは驚きです！

friendhosting: 新年のフラッシュセール、全10データセンターのVPSが50%オフ、最低$16/年、トラフィック無制限

Sharktech-高防御サーバー 10% オフ/デュアルチャネル E5-2670/32g メモリ/ロサンゼルスデータセンター