継続的インテグレーション/継続的デリバリー/継続的デプロイ(CI/CD)とは、アプリケーション開発チームがコードの変更を迅速かつ定期的に差分リリースできる手法です。
安全なソフトウェアを構築するために使用されるツールと戦略について学ぶ
セキュリティはCI/CDの重要課題であり、最初から組み込んでおく必要があります。セキュリティ・テストをライフサイクルの早期工程に移すことで、開発生産性との摩擦を低減し、業務要件を迅速かつ管理された方法で実現する能力が向上します。CI/CDプロセスのセキュリティを確保するには、開発段階でのセキュリティに関するフィードバックの継続的な入手を可能にするセキュリティ・ツールチェーンを構築することをお勧めします。
マチュリティ・アクション・プラン(MAP)は、DevOps環境に関する能力の開発・向上のための綿密で実践的なロードマップです。MAPには、DevOps環境をサポートする人、プロセス、テクノロジーの詳細な評価を含め、セキュリティをスムーズかつシームレスに実現・強化するための焦点を絞った推奨事項を盛り込む必要があります。
セキュリティのツール、テクノロジー、プラクティスをCI/ CDワークフローに統合し、開発プロセスでセキュリティに関するフィードバックを継続的に入手できる体制を整えましょう。詳細については継続的デプロイおよびCI/CDツールに関する記事をご覧ください。
アプリケーションをSAST/DASTワークフローに組み込み、継続的にこの職務を遂行する組織内のセキュリティ推進リーダーを育成します。