IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
リリース直前の脆弱性チェックはNG、迅速さを犠牲にしないDevSecOpsの実現策は
アジャイルやDevOpsへと開発手法がシフトする中で、セキュリティの担保にも変化が求められている。従来のリリース直前の脆弱性チェックは大規模な手戻りを招き、コスト増やリリース遅延を招きかねない。こちらもアップデートが必要だ。
コンテンツ情報
| 公開日 | 2021/11/18 | フォーマット | 種類 | 製品資料 |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 2ページ | ファイルサイズ | 544KB | ||
要約
ウオーターフォール開発におけるセキュリティテストはアプリケーションのリリース直前に実施し脆弱性をチェックするという手法が一般的だ。しかしながら、現在採用が増えているアジャイル開発やDevOpsでは、より細かくリリースを行うため、同様の手法でチェックするとコスト増やリリース遅延につながってしまう。
特に、アプリケーション開発工程の機能試験にセキュリティテストを組み込み、工程を増やすことなくセキュリティを担保するアプローチをシフトレフトと呼び、最近注目されている。
また、DevOpsにセキュリティを組み込んだDevSecOpsも同様に注目されている。DevSecOpsを実現するためには、運用と開発が密接に連携する必要がある。例えば、運用中に脆弱性攻撃を検出した場合にアプリケーションの単位で可視化することや、OSSも含めたライブラリの脆弱性管理を続けることなどにより、DevSecOpsにおける運用の質をより高めることができる。
本資料では、時間やコストを無駄にすることなく、セキュアなWebアプリ開発・運用を実現する方法を、適切なソリューションとともに紹介していく。
特に、アプリケーション開発工程の機能試験にセキュリティテストを組み込み、工程を増やすことなくセキュリティを担保するアプローチをシフトレフトと呼び、最近注目されている。
また、DevOpsにセキュリティを組み込んだDevSecOpsも同様に注目されている。DevSecOpsを実現するためには、運用と開発が密接に連携する必要がある。例えば、運用中に脆弱性攻撃を検出した場合にアプリケーションの単位で可視化することや、OSSも含めたライブラリの脆弱性管理を続けることなどにより、DevSecOpsにおける運用の質をより高めることができる。
本資料では、時間やコストを無駄にすることなく、セキュアなWebアプリ開発・運用を実現する方法を、適切なソリューションとともに紹介していく。