Checkmarx は、クラウドネイティブ アプリケーションのセキュリティを保護するオープン ソースの静的解析ソリューション KICS をリリースしました。

Checkmarx は、クラウドネイティブ アプリケーションのセキュリティを保護するオープン ソースの静的解析ソリューション KICS をリリースしました。

Checkmarx は最近、オープンソースの静的解析ソリューションであるKICS (Keeping Infrastructure as Code Secure) をリリースしました。これにより、開発者はより安全な Infrastructure as Code (IaC) を記述できるようになり、従来のアプリケーションやクラウドネイティブ アプリケーションの独自コード、オープンソース コンポーネント、重要なインフラストラクチャ セキュリティを保護するための独立したプラットフォームが提供されます。無料ダウンロードアドレス: https://docs.kics.io/getting-started/。 Checkmarxは3月30日午後4時から5時まで、KICSオンラインライブデモンストレーション講演会を開催します。ぜひご参加ください!

+ なぜKICSを開発したのですか?

クラウド ネイティブの出現により、最新のアプリケーションの設計、開発、展開方法の概念が完全に変わりました。最終的に、モノリシック アプリケーションは、環境によって制約されない、小さく独立したマイクロサービスに分割されます。オーケストレーションによってこれらが結合され、アプリケーションのスケーラビリティ、信頼性、柔軟性が向上します。

この文脈では、オーケストレーションはマイクロサービスの通信や構成の方法だけでなく、インフラストラクチャの要件や特定の構成についても関係します。つい最近まで、インフラストラクチャと構成は主に手動で提供されていましたが、DevOps 哲学の出現により、自動化が普及し、コードで定義されるようになりました。したがって、 Infrastructure as Code (IaC) の時代が到来しました。

[[389553]]

IaC は、コードによるインフラストラクチャ構成とサービス配信のためのツールとテクノロジーを通じてアプローチを確立します。 Infrastructure as Code の利点には、自動化、べき等性 (テストと本番環境のインフラストラクチャの複製など)、一貫性、自己文書化、コスト削減などがあります。ただし、従来のソフトウェア開発と同様に、Infrastructure as Code は、構成ミスやセキュリティの脆弱性などの問題が発生しやすく、特定のアプリケーションだけでなく、ビジネス全体とその基盤となるインフラストラクチャをより大規模に危険にさらす可能性があります。

KICS (Keeping Infrastructure as Code Secure) のご紹介: 静的コード分析のマーケットリーダーである Checkmarx のオープンソース スタンドアロン エンジンで、ネイティブ クラウド アプリケーションのコンテキストで Infrastructure as Code に起因する脆弱性、コンプライアンスの問題、または誤った構成を検出します。公開日時点で、KICS はすでに 1,000 を超えるセキュリティ ルール (Cx 言語でクエリ) を提供し、複数のクラウド プロバイダー (AWS、Google Cloud、Microsoft Azure など) にわたって Terraform、Kubernetes、Docker、AWS CloudFormation、Ansible をサポートしています。

+ KICS をどのように開発するのでしょうか?

当初、KICS には 50 個のクエリしかなく、プライベート リポジトリに休止状態で保存され、スタンドアロン エンジンとして存在していました。当時、エンジンは少数の IaC ファイル タイプを読み取り、それを内部表現に変換し、結果を JSON 形式で生成することしかできませんでした。

KICS を製品化するために、Checkmarx は、3 か月以内に 1,000 件の REGO/OPA クエリを達成し、2 か月以内に完全にオープン ソースにするという野心的な目標を設定しました。

KICSルール - REGOを使用して1,000以上のルールを作成します

2 週間以内に、Checkmarx は優秀な学生グループを募集し、チームに参加して REGO を使用して開発されたルールをさらに作成することに集中しました。

REGO/OPA は、構造化ドキュメントをクエリするための高レベルの宣言型言語です。したがって、IaC スキャン ルールを取得する方法としてこれを選択しました。学生たちはすぐに REGO を使用した開発方法を習得し、1 週間未満のトレーニングで、Checkmarx アプリケーション セキュリティ リサーチ チームが提供する推奨脆弱性リストと説明に従って、ルールと IaC サンプル (クエリごとに 1 つの真陽性と 1 つの真陰性) を作成しました。

  • 1,000 個のルールを作成するという目標は大きな課題でした。私たちはプロセスを設計に合わせて調整し、Rego コードの重複を避けるために再利用可能なリポジトリを作成しました。

興味深いことに、これが完了すると、開発自体ではなく、マージ リクエストの承認を得ることが課題になりました。最終期限までに、チームは 1,000 クエリのマイルストーンに到達しただけでなく、それを (約 1,200 上回り) 上回りました。

KICS コア - オープンソース クエリ

コア チームの当初の焦点は、KICS を完全にオープン ソースにすることです。

プロジェクトのオープンソース ソフトウェア コンサルタントである Lior Kaplan 氏の綿密な監督とアドバイスを受けて、Checkmarx はプライベート リポジトリへの依存を断ち切り、コミット履歴をより適切なレベルに書き直し、Apache 2.0 ライセンスの下でパブリック GitHub リポジトリに移行しました。

https://github.com/Checkmarx/kics。

このプロセス中に、Checkmarx は GitHub Actions を使用して CI パイプラインを構築し、すべての KICS インフラストラクチャを GitHub 環境に保持しました。すぐに、コードマージリクエストに基づいて、パイプラインを通じて一連の検証が実行されます。いくつかの品質面を取り上げます:

  • コードテストカバレッジ(Codecov を使用)
  • コード品質 (SonarCloud と Codacy を使用)
  • コード セキュリティ (Checkmarx の CxSAST と、KICS GitHub アクション経由の当社独自の KICS を使用)

これらの検証はすべて驚くほど高速で、約 1 分しかかかりません。これは、プル リクエストが成功した後に KICS をリリースできる状態にするのにかかる時間です。

各 CI ステップで品質レベルが合格している限り、KICS はいつでもリリースできます。オープンソースのベストプラクティスに従って、以下を作成しました。

  • ナイトリーリリースは、対応するコミットのハッシュを使用して名前が付けられます。
  • 公式バージョンは、SemVer 標準を使用して 2 週間ごとにリリースされます。

各 KICS リリースには、ベア ソース、Windows、Linux、MacOS バイナリ、および DockerHub で入手可能な Docker イメージが含まれています。

KICS 文書 - 富の共有

KICS は、複数の種類の IaC ファイルを分析できる強力なコア機能を備えており、2 週間ごとに継続的にリリースされる数千のセキュリティ ルールを備えています。

これを実現するために、Checkmarx は Web サイトを構築し、それを AWS に保存しました。しかし、これは単なるきれいなログインページです。ドキュメント サイトは、MkDocs を通じてマークダウン ファイルに基づいて動的に生成されます。詳細については、GitHub ページを参照してください。

Checkmarx は、ロードマップや使用方法や貢献方法に関する説明など、プロジェクトのあらゆる側面を網羅し、KICS ドキュメントを可能な限り明確でわかりやすいものにするよう努めてきました。さらに、Gitterを使用したKICSコミュニティを構築しました。一部の人々はコメントし、質問し、即座にフィードバックを提供し始めました。

KICS管理——アジャイルかつ標準化

チームはカンバン管理方式に従ってアジャイルな方法で作業します。 GitHub の統合管理機能を簡単に利用できるため、この方法で作業を管理するのは簡単になります。

Checkmarx は、作業を小さなプロジェクトに分割し、対処すべき問題や要求をより適切に整理するために、それぞれの目標を設定します。それぞれの未解決の問題には、バグ、機能、セキュリティ、クエリ、機能強化などのラベルが付けられ、その性質を理解しやすくなります。

KICS ユーザーからの貢献をガイドし、より適切に管理するために、Checkmarx は脆弱性、機能、新しいクエリ、およびコード マージ リクエストのテンプレートを定義しました。テンプレートを使用すると、重要な情報を取得し、最終的に記述された作業の品質を標準化できます。

全体として、KICS はアーキテクト、開発者、DevOps、マネージャーで構成される多分野にわたるチームです。現在、一部のフォロワーが KICS にさらなる貢献やフィードバックなどを提供しています。Checkmarx は、さらに多くのユーザーからのご意見をお待ちしています。

ぜひCheckmarx製品をご利用ください。 KICS を無料でダウンロードして、フィードバックをお寄せください。最も詳細なフィードバックを提供した最初の 30 名様には、1,000 人民元相当の JD バウチャーをプレゼントします。

さらに、Checkmarx は 3 月 30 日の北京時間午後 4 時から 5 時まで、KICS のライブ オンライン デモンストレーションを実施し、オンラインで質問に回答します。皆様のご参加を心よりお待ちしております!

[編集者:張燕妮 TEL: (010) 68476606]

<<:  クラウド コンピューティングのよくある 7 つの問題とその解決方法

>>:  HDC.Cloud 2021展望: ファーウェイは6つの主要な革新的な製品とテクノロジーをリリースし、エコシステムの構築に2億ドル以上を投資します

推薦する

企業のウェブサイトはどのようにして B2B プラットフォームの価値を活用できるのでしょうか?

現在、機械業界のさまざまな業界の大小の企業は、主にオンライン販売を主な販売チャネルとしています。結局...

「百度のアルゴリズム変更分析とSEO対策」を読んでの感想

6.28、7.13、過去30日間、百度の行為は確かに多くの人を怒らせました。百度に依存している「イン...

vsyshost: ウクライナ VPS/オランダ VPS、苦情防止、月額 18 ドル、帯域幅 1Gbps、トラフィック無制限

vsys.host は 2009 年に設立されたウクライナの商人です。主にウクライナのキエフとオラン...

車のインターネットがビジネスイノベーションを加速

自動車業界におけるビッグデータ、モノのインターネット、人工知能の継続的かつ急速な進歩により、自動車業...

WordPress 用のパーソナライズされたユーザーフレンドリーな 404 ページを作成する方法

ウェブマスターとして、私も間違いを犯すでしょうし、あなたも間違いを犯すでしょうし、私たちは皆間違いを...

3年間の運営経験: タオバオSEOランキング最適化のヒント

1. キーワードの選択2. タイトルデザインとキーワードの組み合わせ3. 画期的なキーワードを特定す...

ユーザーの真のニーズを深く理解することで、半分の労力で2倍の結果を達成できます。

今日、ウェブサイトが成功したいのであれば、ユーザーが本当に必要としているものを研究するために、より多...

YYを「密かに」店頭から撤去し、匿名ソーシャルアプリ「プライベートサークル」を立ち上げた

[要約] 秘密権使用者の特徴は、若く、教養が高く、活力があり、新しいものを好むことです。彼らは家にこ...

2019 年のデータセンターの 5 つのトレンド: エッジ コンピューティングが変化を推進

2019 年を迎えても、ネットワーク エッジはデータ センター分野におけるイノベーションのテクノロジ...

サイト分析に欠かせないIISログ分析について簡単に説明します。

すべてのオプティマイザーには、ユーザーの検索行動の分析、サイトデータトラフィックの分析など、特定の分...

興味深いブラックハットSEOテクニックの紹介

蔡蔡はブラックハットSEO技術を推奨したことはありませんが、それでも注目しています。実際、ブラックハ...

kvmla-シンガポールVPS、日本VPS、香港VPS、米国VPS、すべて20%オフ

– LLC の kvmla は 9 月に大規模なプロモーションを開始しました。シンガポール VPS、...

アリババはクラウドネイティブ技術委員会を設立し、クラウドネイティブをアリババの新しい技術戦略にアップグレードしました。

9月18日、2020年雲奇カンファレンスにおいて、アリババはクラウドネイティブテクノロジー委員会(以...

SEOを行うにはデータ分析に精通している必要がある

従来の販売のネットワーク化により、SEO はより注目されるようになりました。 8年間の紆余曲折を経て...