CI/CD による脆弱性管理と DevSecOps

2018 年には金融機関の 90% がマルウェアの標的になったと報告し、同年、世界的にランサムウェア攻撃が 350% 増加しました。2020 年には、Twitter、ホテルチェーンの Marriott、MGM Resorts、Zoom、Magellan health がいずれも何らかのセキュリティ侵害を報告しました [1]。これらの統計は、セキュリティと脆弱性管理の重要性を示しています。組織は、セキュリティを開発プロセスの一部にする必要があります。これを詳しく見ていきましょう。

DevOpsの採用率が高い

開発とは、コードの作成と保守のプロセスです。ソフトウェアや機能を考え、それを対象ユーザーの「現実世界」に持ち込むために必要なすべてのアクティビティが含まれます。運用または IT 運用とは、組織の IT 部門が実行する一連のアクティビティを指します。IT 部門は、組織のソフトウェアとハードウェアの構造、保守、管理方法を定義します。開発にはソフトウェア ツールと適切なハードウェアが必要です。したがって、開発と IT は相互に依存しています。DevOps は、2 つの独立したサイロ化されたチームとして機能するのではなく、開発と運用がアプリケーションのライフサイクル全体で 1 つのチームとして機能するソフトウェア開発のアプローチです。このアプローチの利点を認識して、今日ほとんどの組織は DevOps モデルを使用しています。

参照: 2020 年のソフトウェア配信の現状

DevSecOpsの必要性

ただし、DevOps モデルでカバーされていない重要な領域の 1 つがセキュリティであり、これが DevSecOps の必要性を生み出しています。セキュリティの脆弱性は、DevOps パイプラインの複数のポイントで発生する可能性があります。従来、セキュリティは開発ライフサイクルの最後にソフトウェアに追加されていましたが、開発と運用へのアプローチが DevOps に進化したのと同様に、脆弱性管理への新しいアプローチが必要になっています。セキュリティは開発の一部にならなければなりません。開発、運用、セキュリティを継続的なプロセスとして考慮するシステムは、DevSecOps と呼ばれます。セキュリティは、開発設計、統合、テスト、展開、配信のすべての段階に統合されています。DevSecOps を使用すると、組織はセキュリティの問題が発生したときに対処できます。問題は、修正が容易でコストがかからず、本番環境に到達して損害が発生する前に対処できます。

CircleCI によるこの電子書籍では、現代の開発者や DevOps 実践者が CI/CD を使用して脆弱性管理に DevSecOps アプローチを採用する方法についての情報が見つかります。

ソース：

1. nd、「2021 サイバーセキュリティ統計 統計、データ、トレンドの究極リスト」、Purplesec [オンラインで入手可能] から入手可能: https://purplesec.us/resources/cyber-security-statistics/ [2021 年 4 月アクセス]