DevSecOps

DevSecOps向けにAppSecソリューションをデプロイする方法を決定する際、最も良いのはセキュリティ組織とエンジニアリング / 運用チームの両方のニーズを考慮することです。多くの場合、オンプレミスやハイブリッド・デプロイが必要になるのは、特定のビジネス部門やチームに限られます。PolarisなどのSaaSベースのセキュリティ・テストは、最適化することでDevOpsとCI/CDパイプラインに合わせて拡張し、DevSecOpsコストを最小化することができます。ハードウェア導入もソフトウェア更新も不要で、チームの規模やスキャン頻度に制限はありません。柔軟に増減可能なキャパシティと、プロジェクト / スキャン・タイプをまたがる同時スキャンを活用しながら、組織全体で迅速にユーザーとアプリケーションのオンボーディングを実行できます。

CCode Sightでは、ソースコードとオープンソース・コンポーネントのセキュリティ・テストを開発者の好みのIDE（VS Code、Visual Studio、IntelliJ、Eclipseなど）に直接統合できます。Code Sightが「セキュリティのスペルチェッカー」の役割を果たすため、開発者はツールの切り替えやワークフローの中断なしでセキュリティの不具合を発見し、修正することができます。Code Sightはパッケージ・レベルとコード行レベルで詳しい修正提案を提供し、修正から当て推量を取り除いて開発者のセキュリティ・スキルセットを高めます。また、開発者はCode Sightをその他のブラック・ダックのソリューション（Polarisなど）に接続して、CI/CDパイプライン・ベースのスキャンで検出し優先順位付けされた問題をレビューすることができます。

ブラック・ダックは、SAST、SCA、インタラクティブ・アプリケーション・セキュリティ・テスト（IAST）、DASTに対応する自動化ソリューションを提供しています。これらのソリューションはCI/CDパイプライン内で統合して自動化し、事前定義したポリシーとワークフロー・トリガーに基づいて設定できます。Polaris Platformでは、アプリケーション、プロジェクト、スケジュール、パイプライン・イベントに基づいて、パイプライン内の最善の段階で最も適切な解析エンジンを柔軟に実行できます。

AI生成コードに関連するセキュリティとライセンスの課題は、基本的に開発者によって持ち込まれる課題と同じです。これに備えるためには、事前に重要なセキュリティ手順を自動化してから、セキュリティ・テスト・ポリシーを定義し、さまざまなSDLC段階とCI/CDパイプライン内で適切なテスト・タイプを統合します。次に、DevOpsセキュリティ自動化テンプレート（Black Duck Security Scan GitHub Action、GitLabテンプレート、Azure DevOps拡張機能など）を使用して修正プル・リクエストを自動化し、問題管理ワークフローとIDEに明確な修正ガイダンスを提供することで、開発者が迅速に問題を修正できるようにします。これらの手順が、AIコード生成に要求されるスピードで必要なAppSec機能を自動化し、拡張するのに役立ちます。

「重要なのは、開発チームが下流工程に投入するすべてのアプリケーションとコンテナのセキュリティ・リスク態勢をセキュリティ・チームが常に把握し、管理できるようにすることです。DevOpsワークフローを妨げない方法でこれを実現するため、ブラック・ダックのAppSecテスト向けDevSecOpsソリューションはSDLC全体を通じてCI/CDパイプライン内で統合されています。スキャン・イベントをトリガーし、ポリシーに基づく優先順位付けとトリアージを自動化し、修正を加速することで、より効率的で効果的なDevSecOpsを実現し、脆弱性バックログを解消します。SCMとCIツール（GitHub、GitLab、Azure DevOpsなど）に接続し、独自開発コード、オープンソース、サードパーティの依存関係のスキャンをスケジュール設定やトリガーによって実行し、セキュリティ・ポリシー違反に対応する自動化アクション（ビルドのブロック、プル・リクエストへのコメント追加、問題追跡ワークフローの開始など）を設定できます。