本日のコラムニスト、Sonar の Harry Wang 氏は、AI 時代においてソース コードの品質がこれまで以上に重要になっていると指摘しています。(Adobe Stock)
CEO や役員は、将来のビジネスにとってソフトウェアが重要であることを理解しています。社会として、私たちは生活のあらゆる面でソフトウェアとそれが構築するコードに依存しています。良くも悪くも、この依存はテクノロジーの進歩とともに増加し続けるでしょう。
世界中の政府が注目し、ソフトウェア コードの品質とセキュリティに関するフレームワークと標準の開発に着手しています。政策立案者が、コストのかかる一般的なサイバー攻撃から消費者と企業の両方を保護するために取り組んでいるため、ソフトウェア セキュリティに関する新しい規制が勢いを増しています。
たとえば、2 月にホワイト ハウスの国家サイバー ディレクター事務所 (ONCD) は、ソフトウェア セキュリティの向上策として、あらゆる業界の企業がメモリ セーフなプログラミング言語の採用を優先する必要性を強調したレポートを発表しました。
これは、政府が安全で高品質なソフトウェアの必要性に追いついていることを示すほんの一例です。他にも、NIST のサイバーセキュリティ フレームワーク 2.0、ホワイトハウスの新しい安全なソフトウェア開発証明書フォーム、新しいペイメント カード業界データ セキュリティ標準 v4.0 などがあります。これらの動きはすべて、昨年の EU の法律で製造物責任法および規制にソフトウェアが追加された直後に起きています。
企業はどのようにして自社のソフトウェアがこれらの新しい標準と法的要件に準拠していることを保証できるでしょうか? その答えはソフトウェアの基盤であるソース コードから始まります。
セキュリティは高品質なソースコードから始まる
ソフトウェアの安全性はコードの品質によってのみ決まり、セキュリティは開発プロセスの最初から始まります。
ソース コード レベルで導入されたバグや問題は複雑化し、セキュリティ ホールが拡大して、脅威の攻撃者が悪用しやすくなります。これらの問題は、ソフトウェア開発ライフサイクル (SDLC) を進むにつれて修正に時間がかかります。コード品質の問題を早期に特定して対処することで、技術的負債が軽減され、企業に数十億ドルの損害をもたらす可能性のあるセキュリティ リスクも軽減されます。
数字が物語っています。マッキンゼーの調査によると、質の悪いソースコードに起因する技術的負債のコストは、企業の技術予算全体の約 20 ~ 40% に達する可能性があります。ソフトウェアはビジネスの成功の最前線にあるため、これは大きな意味を持ちます。当社の調査では、コード 27 行につき 1 つの問題が見つかることがわかりました。ソフトウェアを優先し、数百万行のコードを所有する企業では、これらすべてが脆弱性、脅威、技術的負債への何万もの露出につながります。
さらに、燃え尽き症候群にも対処しなければなりません。開発者の要求はかつてないほど高まっており、すでに開発者の約 60% が燃え尽き症候群を経験していると述べています。新しい製品や機能をサポートするために大量のコードを作成すると、必然的に問題も増えます。コードが 2 倍になると、ミスも 2 倍になります。疲労とストレスにより、ミスを起こしやすくなり、設計上の欠陥やバグが発生してセキュリティ上の問題につながる可能性があります。
AI は燃え尽き症候群をさらに複雑にします。AI は開発者のコード作成能力を高める力を持っていますが、欠点やリスクがないわけではありません。AI が生成したコードは、適切な人が使用し、適切なチェックが行われた場合にのみ効果を発揮します。AI コード ジェネレーターの急速な導入を考慮すると、コードの変更頻度は年末までに 2 倍になります。
これは、品質よりも機能を優先する企業にとって問題となります。
コードの品質に責任を持つのは誰ですか?
企業全体として、資産としてのコードの価値と、ビジネスに対する不良コードのリスクを理解する必要がありますが、これは上層部から始まります。取締役会と経営幹部は、開発チームがコンプライアンスとリスク管理の要件を満たす最高品質のコードを確実に作成することに関与する必要があります。
ソフトウェアを構築する開発チームにも責任があります。開発者は、自分たちの仕事がいかに重要であるか、また「シフトレフト」の利点を理解しています。つまり、コードをテストし、問題を早期に解決することで、コードが SDLC を通過する際に問題が悪化せず、技術的負債や潜在的なセキュリティ問題が蓄積されるのを防ぐことができるのです。
企業は開発者に適切なツールと自動化を提供する必要があります。開発者にすべてのコード行を手動でコーディングしてテストするように依頼するのは現実的ではありません。AI、自動コード分析、堅牢な「Clean as You Code」ソフトウェア開発フレームワークは、面倒な作業を大幅に軽減し、開発者がより価値の高い設計タスクに集中できるようにします。
コード ベースと追加または変更を継続的にスキャンして潜在的な問題を検出することにより、開発者は簡単にコーディングでき、ビジネス オーナーは結果の品質とセキュリティに自信を持つことができます。
組織は、貴重なソース コードが悪用されることを望んでいません。ソフトウェアの基盤であるソース コードが危険にさらされたり、金銭的損失や評判の失墜につながるような問題が発生したりしないようにしたいのです。
コードを高速化し、ビジネス ニーズに対応するために AI に頼るほど、品質が最優先されるようになります。透明性の文化を作り上げ、開発者に高品質で安全なソフトウェアを構築するために必要なツールを提供するのは、ビジネス リーダーの責任です。また、レポートと分析を通じて進捗状況を監視して、ソフトウェアとコードの品質に関する組織の状況を把握するのもリーダーの責任です。ソフトウェアとコードを重要なビジネス資産と見なす企業だけが、デジタル トランスフォーメーションの恩恵を受けることができます。
ソナーの戦略パートナーシップ担当副社長、ハリー・ワン氏
BleepingComputer の報道によると、FBI とサイバーセキュリティおよびインフラストラクチャセキュリティ庁はソフトウェア企業に対し、出荷前に製品にパストラバーサルやディレクトリトラバーサルの脆弱性がないことを確認するよう要請した。
CVE-2023-7028として追跡されている、最も深刻度の高いアカウント乗っ取りの脆弱性の影響を受けるGitLabインスタンスを狙った侵入が続いているため、この欠陥はサイバーセキュリティおよびインフラストラクチャセキュリティ庁の既知の悪用された脆弱性カタログに追加され、連邦政府機関は5月22日までにセキュリティ問題を修正するよう求められているとBleepingComputerが報告しています。
Hacker News の報道によると、過去 5 年間に Docker Hub にアップロードされた 4.79 のイメージレス リポジトリのうち 300 万件以上が、3 つの別々の悪意のあるキャンペーンでコンテナ レジストリのユーザーを標的とするために利用されたとのことです。
以下の「購読」ボタンをクリックすると、SC Media の利用規約およびプライバシー ポリシーに同意したことになります。
このウェブサイトを利用することにより、CyberRisk Alliance のプライバシー ポリシーおよび利用規約に同意したものとみなされます。
