Checkmarx は、クラウドネイティブアプリケーションのセキュリティを保護するオープンソースの静的解析ソリューション KICS をリリースしました。

Checkmarx は最近、オープンソースの静的解析ソリューションであるKICS (Keeping Infrastructure as Code Secure) をリリースしました。これにより、開発者はより安全な Infrastructure as Code (IaC) を記述できるようになり、従来のアプリケーションやクラウドネイティブアプリケーションの独自コード、オープンソースコンポーネント、重要なインフラストラクチャセキュリティを保護するための独立したプラットフォームが提供されます。無料ダウンロードアドレス: https://docs.kics.io/getting-started/。 Checkmarxは3月30日午後4時から5時まで、KICSオンラインライブデモンストレーション講演会を開催します。ぜひご参加ください！

+ なぜKICSを開発したのですか?

クラウドネイティブの出現により、最新のアプリケーションの設計、開発、展開方法の概念が完全に変わりました。最終的に、モノリシックアプリケーションは、環境によって制約されない、小さく独立したマイクロサービスに分割されます。オーケストレーションによってこれらが結合され、アプリケーションのスケーラビリティ、信頼性、柔軟性が向上します。

この文脈では、オーケストレーションはマイクロサービスの通信や構成の方法だけでなく、インフラストラクチャの要件や特定の構成についても関係します。つい最近まで、インフラストラクチャと構成は主に手動で提供されていましたが、DevOps 哲学の出現により、自動化が普及し、コードで定義されるようになりました。したがって、 Infrastructure as Code (IaC) の時代が到来しました。

[[389553]]

IaC は、コードによるインフラストラクチャ構成とサービス配信のためのツールとテクノロジーを通じてアプローチを確立します。 Infrastructure as Code の利点には、自動化、べき等性 (テストと本番環境のインフラストラクチャの複製など)、一貫性、自己文書化、コスト削減などがあります。ただし、従来のソフトウェア開発と同様に、Infrastructure as Code は、構成ミスやセキュリティの脆弱性などの問題が発生しやすく、特定のアプリケーションだけでなく、ビジネス全体とその基盤となるインフラストラクチャをより大規模に危険にさらす可能性があります。

KICS (Keeping Infrastructure as Code Secure) のご紹介: 静的コード分析のマーケットリーダーである Checkmarx のオープンソーススタンドアロンエンジンで、ネイティブクラウドアプリケーションのコンテキストで Infrastructure as Code に起因する脆弱性、コンプライアンスの問題、または誤った構成を検出します。公開日時点で、KICS はすでに 1,000 を超えるセキュリティルール (Cx 言語でクエリ) を提供し、複数のクラウドプロバイダー (AWS、Google Cloud、Microsoft Azure など) にわたって Terraform、Kubernetes、Docker、AWS CloudFormation、Ansible をサポートしています。

+ KICS をどのように開発するのでしょうか?

当初、KICS には 50 個のクエリしかなく、プライベートリポジトリに休止状態で保存され、スタンドアロンエンジンとして存在していました。当時、エンジンは少数の IaC ファイルタイプを読み取り、それを内部表現に変換し、結果を JSON 形式で生成することしかできませんでした。

KICS を製品化するために、Checkmarx は、3 か月以内に 1,000 件の REGO/OPA クエリを達成し、2 か月以内に完全にオープンソースにするという野心的な目標を設定しました。

KICSルール - REGOを使用して1,000以上のルールを作成します

2 週間以内に、Checkmarx は優秀な学生グループを募集し、チームに参加して REGO を使用して開発されたルールをさらに作成することに集中しました。

REGO/OPA は、構造化ドキュメントをクエリするための高レベルの宣言型言語です。したがって、IaC スキャンルールを取得する方法としてこれを選択しました。学生たちはすぐに REGO を使用した開発方法を習得し、1 週間未満のトレーニングで、Checkmarx アプリケーションセキュリティリサーチチームが提供する推奨脆弱性リストと説明に従って、ルールと IaC サンプル (クエリごとに 1 つの真陽性と 1 つの真陰性) を作成しました。

1,000 個のルールを作成するという目標は大きな課題でした。私たちはプロセスを設計に合わせて調整し、Rego コードの重複を避けるために再利用可能なリポジトリを作成しました。

興味深いことに、これが完了すると、開発自体ではなく、マージリクエストの承認を得ることが課題になりました。最終期限までに、チームは 1,000 クエリのマイルストーンに到達しただけでなく、それを (約 1,200 上回り) 上回りました。

KICS コア - オープンソースクエリ

コアチームの当初の焦点は、KICS を完全にオープンソースにすることです。

プロジェクトのオープンソースソフトウェアコンサルタントである Lior Kaplan 氏の綿密な監督とアドバイスを受けて、Checkmarx はプライベートリポジトリへの依存を断ち切り、コミット履歴をより適切なレベルに書き直し、Apache 2.0 ライセンスの下でパブリック GitHub リポジトリに移行しました。

https://github.com/Checkmarx/kics。

このプロセス中に、Checkmarx は GitHub Actions を使用して CI パイプラインを構築し、すべての KICS インフラストラクチャを GitHub 環境に保持しました。すぐに、コードマージリクエストに基づいて、パイプラインを通じて一連の検証が実行されます。いくつかの品質面を取り上げます:

コードテストカバレッジ（Codecov を使用）
コード品質 (SonarCloud と Codacy を使用)
コードセキュリティ (Checkmarx の CxSAST と、KICS GitHub アクション経由の当社独自の KICS を使用)

これらの検証はすべて驚くほど高速で、約 1 分しかかかりません。これは、プルリクエストが成功した後に KICS をリリースできる状態にするのにかかる時間です。

各 CI ステップで品質レベルが合格している限り、KICS はいつでもリリースできます。オープンソースのベストプラクティスに従って、以下を作成しました。

ナイトリーリリースは、対応するコミットのハッシュを使用して名前が付けられます。
公式バージョンは、SemVer 標準を使用して 2 週間ごとにリリースされます。

各 KICS リリースには、ベアソース、Windows、Linux、MacOS バイナリ、および DockerHub で入手可能な Docker イメージが含まれています。

KICS 文書 - 富の共有

KICS は、複数の種類の IaC ファイルを分析できる強力なコア機能を備えており、2 週間ごとに継続的にリリースされる数千のセキュリティルールを備えています。

これを実現するために、Checkmarx は Web サイトを構築し、それを AWS に保存しました。しかし、これは単なるきれいなログインページです。ドキュメントサイトは、MkDocs を通じてマークダウンファイルに基づいて動的に生成されます。詳細については、GitHub ページを参照してください。

Checkmarx は、ロードマップや使用方法や貢献方法に関する説明など、プロジェクトのあらゆる側面を網羅し、KICS ドキュメントを可能な限り明確でわかりやすいものにするよう努めてきました。さらに、Gitterを使用したKICSコミュニティを構築しました。一部の人々はコメントし、質問し、即座にフィードバックを提供し始めました。

KICS管理——アジャイルかつ標準化

チームはカンバン管理方式に従ってアジャイルな方法で作業します。 GitHub の統合管理機能を簡単に利用できるため、この方法で作業を管理するのは簡単になります。

Checkmarx は、作業を小さなプロジェクトに分割し、対処すべき問題や要求をより適切に整理するために、それぞれの目標を設定します。それぞれの未解決の問題には、バグ、機能、セキュリティ、クエリ、機能強化などのラベルが付けられ、その性質を理解しやすくなります。

KICS ユーザーからの貢献をガイドし、より適切に管理するために、Checkmarx は脆弱性、機能、新しいクエリ、およびコードマージリクエストのテンプレートを定義しました。テンプレートを使用すると、重要な情報を取得し、最終的に記述された作業の品質を標準化できます。

全体として、KICS はアーキテクト、開発者、DevOps、マネージャーで構成される多分野にわたるチームです。現在、一部のフォロワーが KICS にさらなる貢献やフィードバックなどを提供しています。Checkmarx は、さらに多くのユーザーからのご意見をお待ちしています。

ぜひCheckmarx製品をご利用ください。 KICS を無料でダウンロードして、フィードバックをお寄せください。最も詳細なフィードバックを提供した最初の 30 名様には、1,000 人民元相当の JD バウチャーをプレゼントします。

さらに、Checkmarx は 3 月 30 日の北京時間午後 4 時から 5 時まで、KICS のライブオンラインデモンストレーションを実施し、オンラインで質問に回答します。皆様のご参加を心よりお待ちしております！

[編集者：張燕妮 TEL: (010) 68476606]

<<: クラウドコンピューティングのよくある 7 つの問題とその解決方法

>>: HDC.Cloud 2021展望: ファーウェイは6つの主要な革新的な製品とテクノロジーをリリースし、エコシステムの構築に2億ドル以上を投資します

Checkmarx は、クラウドネイティブアプリケーションのセキュリティを保護するオープンソースの静的解析ソリューション KICS をリリースしました。

+ なぜKICSを開発したのですか?

+ KICS をどのように開発するのでしょうか?

製品設計におけるユーザーの「Gスポット」ユーザーとともに製品を開発

racknerd: 月額 49 ドル、e3-1230/16g メモリ/1T ハードディスク/10T トラフィック/; クラスターサーバー、8C-$140、16C-$150、ロサンゼルス/ダラス/シカゴ/ニューヨーク

ケーススタディ |メディア、通信、不動産などの業界におけるクラウド移行パスのまとめ（第1部）

Google I/O 2018: Google Instant Games がすべての Android 開発者に公開

#12.12# cloudcone、ロサンゼルスの高トラフィック VPS、年間 14 ドル、KVM/1G メモリ/1 コア/20g SSD/5T トラフィック/1Gbps 帯域幅

iResearchの「2021年クラウドネイティブインテリジェントマーケティング調査レポート」がリリース、Mobvista、Adobe、Alimamaが代表例として選出

Google ペンギンアップデートに打ち勝つための 5 つのコンテンツ

より良い運用方法を教えます、WeChat SEO モデルに関する 8 つの実用的なヒント!

テンセントクラウドテクノハブテクノロジーツアー武漢駅を一記事で、クラウドネイティブの世界を深く解釈_クラウドコンピューティング隔月刊第111号

分析インデックスの原則と SEO

推薦する

2019 年の ACM フェローリストが発表されました。陶大成、謝元、陳希林を含む7人の中国人学者が選出された。

XSX.Net 香港 VPS はどうですか?月額 5.95 ドルで 100M の帯域幅を備えた香港の VPS の簡単なレビュー

日本ダイレクトVPS、日本VPS：高速、ダイレクト、便利

テンセントの最新のデータベース研究成果が、世界トップのデータベースカンファレンスであるSIGMODに選出された。

感情をデザインに取り入れてウェブサイトのユーザーエクスペリエンスを向上させる

ウェブマスターは、アンカーテキストをウェブサイトにインポートする際に注意する必要がある。

IDC：中国の産業用クラウド市場規模は2020年下半期に前年比33.9％増加

この写真は私が撮った写真の 1 枚です。この写真が原因で、数十の Web サイトが閉鎖されました。

AI 用に開発されたスーパーチップは、クラウドコンピューティングのパワーを地元企業に還元するのでしょうか?

Kafka の効率的なストレージ設計をコミックで解説

dataspeex-0.99 ユーロ/1g メモリ/50g ハードディスク/無制限トラフィック/1000M ポート/ドイツ

綿花クラウド：武漢BGP、100G高防御（カスタマイズ可能）、専用サーバー299元、e5-2650v3/16gメモリ/240gSSD/30M帯域幅

注: Bluehostの公式中国語サイトの説明

#人気のない VPS# tmzvps-高品質、人気のない、マネージド VPS/webnx/hostdime

モバイルアプリのSEOに関する実践的な経験を共有する