What's Next For DevSecOps
DevSecOps の次の一手
Due to their importance in modern application architectures, building secure APIs is crucial. Security cannot be neglected, and it should be part of the whole development life cycle. Scanning and penetration testing yearly are no longer enough. 現代のアプリケーションアーキテクチャにおいて API は重要であり、安全な API を構築することは不可欠です。セキュリティは無視できず、開発ライフサイクル全体に組み込まれるべきです。年に一度のスキャンやペネトレーションテストだけでは不十分です。
DevSecOps should join the development effort, facilitating continuous security testing across the entire software development life cycle. Your goal should be to enhance the development pipeline with security automation, but without impacting the speed of development. DevSecOps は開発活動に参画し、ソフトウェア開発ライフサイクル全体で継続的なセキュリティテストを推進すべきです。目標は、開発スピードを損なうことなく、セキュリティの自動化で開発パイプラインを強化することです。
In case of doubt, stay informed, and refer to the DevSecOps Manifesto. 判断に迷ったときは最新情報を把握し、DevSecOps Manifesto を参照してください。
| Item | Content |
|---|---|
| Understand the Threat Model | Testing priorities come from a threat model. If you don't have one, consider using OWASP Application Security Verification Standard (ASVS), and the OWASP Testing Guide as an input. Involving the development team will help to make them more security-aware. (日本語)テストの優先順位は脅威モデルから導かれます。未整備なら、OWASP ASVS や OWASP Testing Guide を参考にしてください。開発チームを巻き込むことで、セキュリティへの意識を高められます。 |
| Understand the SDLC | Join the development team to better understand the Software Development Life Cycle. Your contribution on continuous security testing should be compatible with people, processes, and tools. Everyone should agree with the process, so that there's no unnecessary friction or resistance. (日本語)開発チームに加わり、SDLC を深く理解しましょう。継続的セキュリティテストへの貢献は、人・プロセス・ツールと整合している必要があります。全員がプロセスに合意して、不必要な摩擦や抵抗を避けることが重要です。 |
| Testing Strategies | Since your work should not impact the development speed, you should wisely choose the best (simple, fastest, most accurate) technique to verify the security requirements. The OWASP Security Knowledge Framework and OWASP Application Security Verification Standard can be great sources of functional and nonfunctional security requirements. There are other great sources for projects and tools similar to the one offered by the DevSecOps community. (日本語)開発速度へ影響を与えないよう、最適(簡潔・高速・高精度)な手法でセキュリティ要件を検証しましょう。OWASP Security Knowledge Framework と OWASP ASVS は、機能/非機能のセキュリティ要件の優れた情報源です。さらに、DevSecOps コミュニティ が提供するものに類する プロジェクト や ツール も役立ちます。 |
| Achieving Coverage and Accuracy | You're the bridge between developers and operations teams. To achieve coverage, not only should you focus on the functionality, but also the orchestration. Work close to both development and operations teams from the beginning so you can optimize your time and effort. You should aim for a state where the essential security is verified continuously. (日本語)あなたは開発と運用の橋渡し役です。十分なカバレッジを得るには、機能だけでなくオーケストレーションにも目を向けます。初期から開発・運用の双方と密に連携し、時間と労力を最適化しましょう。本質的なセキュリティが継続的に検証される状態を目指してください。 |
| Clearly Communicate Findings | Contribute value with less or no friction. Deliver findings in a timely fashion, within the tools development teams are using (not PDF files). Join the development team to address the findings. Take the opportunity to educate them, clearly describing the weakness and how it can be abused, including an attack scenario to make it real. (日本語)摩擦を最小化しつつ価値を提供しましょう。指摘事項はタイムリーに、開発チームが使うツール内で共有します(PDF ではなく)。対応にもチームとして参加し、弱点と悪用方法を明確に説明します。実感を伴わせるため、攻撃シナリオも併せて提示して教育の機会にしましょう。 |