AI(人工知能)は、人間の認知機能をシミュレートしようとする技術です。AI はさまざまな方法でソフトウェア開発分野に進出しています。AI に関する知識を広げるには、AI 記事リストをご覧ください。
可観測性は、組織内の開発チームがプログラムの状態を確認する方法です。開発者にツールやプロセスに関する情報を提供しないと、未対応のバグやシステム障害につながる可能性があります。最新の可観測性コンテンツについては、こちらをご覧ください。
これまで、CI/CD パイプラインは単にコードを統合する場所でした。開発者は GitHub でコードを記述し、パイプラインに渡してデプロイしていました。今日では、パイプラインはソフトウェア配信ライフサイクルにおいてさらに重要な部分になっています。
最新のクラウドネイティブアプリケーションでは、マイクロサービス、コンテナ、API、コードとしてのインフラストラクチャなどを活用して、アプリの開発と展開を迅速化することがよく行われます。
わずか90秒で分散PostgreSQLを導入
セキュリティテストの重要性
今日では、オープンソースやサードパーティのコンポーネントを使用してアプリケーションを構築する開発チームが増えており、セキュリティ チームにとって最大の懸念事項は API になっています。これらのインターフェイスの更新が遅れているため、脆弱性が発生する可能性が高いのはここです。
モバイル アプリ テストでは、モバイル アプリの機能性、使いやすさ、見た目の魅力、複数のモバイル デバイス間での一貫性を分析します。これにより、アプリへのアクセスに使用するデバイスに関係なく、最適なユーザー エクスペリエンスを確保できます。
今日の分散ソフトウェア環境には、モバイルからマイクロサービスまで、ソフトウェアが接続するすべてのインターフェイスにさまざまな API が組み込まれています。ソフトウェアが期待どおりに機能するようにするには、各 API を継続的にテストして検証する必要があります。Parasoft の API テスト プラットフォームは、このような要件を迅速かつ効率的かつインテリジェントに処理します。
アプリケーションの回復力を確保し、さまざまな動作条件下でソフトウェアが期待どおりに動作することを確認します。(Parasoft 提供)
DevSecOps は、開発ライフサイクルにセキュリティを取り入れる DevOps コミュニティのアプローチです。企業はソフトウェアを提供したいが、信頼性の低いアプリケーションや安全でないアプリケーションをリリースする余裕はありません。そのため、従来よりもはるかに早くセキュリティを組み込む必要があります。
アプリケーションをセキュリティで保護することは、アプリケーションを構築することと同じくらい重要です。データの価値が高まるにつれて、それを盗んで私利私欲のために使用しようとする人が増えています。ハッカーは防御側の一歩先を行くように努めているため、アプリケーションが確実に安全であることを確認することは常に課題となっています。
2023 年には、「積極的に維持されている」と見なされるオープンソース プロジェクトの数が 18% 減少しました。これは、Sonatype の年次ソフトウェア サプライ チェーン状況レポートによるものです。
開発マネージャーには開発者とは異なる種類のコンテンツが必要です。彼らは、どのようなプラットフォーム、ツール、トレンド、問題について考えるべきなのかを知る必要があります。SD Timesは、ここでそれらのユニークなトピックをお届けします。
アジャイル ソフトウェア開発は 1990 年代から存在していましたが、ユタ州スノーバードで開催された 17 人の著名なソフトウェア開発思想リーダーによる有名な会議でアジャイル宣言が採択されるまで、その名前は付けられていませんでした。アジャイル ソフトウェア開発の背後にある考え方は、ソフトウェアの小さなセグメントをより迅速に反復できるようにすることで、市場投入までの時間を短縮することです。
バリュー ストリーム管理では、組織内の人々がワークフローやその他のプロセスを検証し、リソース、時間、資産の無駄を排除しながら、努力から最大限の価値を引き出せるようにします。これは、組織に価値を生み出すパートナーとして、ビジネス側と IT 側を真に結び付ける実践です。
DevOps は、ソフトウェア開発および IT 業界における方法論です。一連のプラクティスとツールとして使用される DevOps は、システム開発ライフサイクルを改善および短縮する手段として、ソフトウェア開発と IT 運用の作業を統合および自動化します。
マイクロサービスは、サービス指向アーキテクチャの最新の反復を定義します。このアーキテクチャでは、アプリケーションはモノリスとして記述されるのではなく、アプリケーション プログラミング インターフェイス (API) を介して個別のコンポーネント (サービスと呼ばれる機能のビット) を結合することによって構築されます。
AI(人工知能)は、人間の認知機能をシミュレートしようとする技術です。AI はさまざまな方法でソフトウェア開発分野に進出しています。AI に関する知識を広げるには、AI 記事リストをご覧ください。
バリュー ストリーム管理では、組織内の人々がワークフローやその他のプロセスを検証し、リソース、時間、資産の無駄を排除しながら、努力から最大限の価値を引き出せるようにします。これは、ビジネス側と IT 側をパートナーとして結び付け、組織に価値を生み出す実践です。
ソフトウェア業界はもはや機能していません。昨年だけで 28,000 件を超える新しい CVE が公開されました。これは記録的な増加であり、脆弱性を修正するかリスクにさらされるかというプレッシャーが常にかかっているセキュリティ チームと開発チームが直面している継続的なパッチ適用危機を完璧に表しています。過去 12 か月間で、ソフトウェアの脆弱性が原因で 50% を超える組織が 8 件以上の侵害に見舞われました。同じ調査で、効果的かつタイムリーにパッチを適用していると考えている組織はわずか 11% でした。このジレンマは、安全でないアプリケーションをエンド ユーザーにリリースすることにあまりにも慣れすぎているソフトウェア業界の結果です。ソフトウェア ベンダーは長い間、市場投入までのスピードを優先し、セキュリティは更新とパッチで対処する後回しにされてきましたが、私たちはもはやそれを容認できません。
セキュリティリーダー、規制当局、そして業界自体が、より高いセキュリティ基準を採用し、ソフトウェアベンダーと開発者に最初からより高いセキュリティ基準を課し、設計によるセキュリティの原則を真に採用し、脆弱性のより明確な開示と迅速な修正、リリース後もアプリケーションのセキュリティテストをより定期的かつ厳密に実施する必要があります。
それで、誰の責任ですか?
この危機は、広く知られているセキュリティ スキルのギャップによって永続化しています。実際、組織の 47 パーセントが、実稼働環境での脆弱性の修正が困難である原因を、資格のある人材の不足に求めています。これは、ソフトウェア開発ライフサイクル (SDLC) 内でも、セキュリティの負担が不公平に分散されていることを示しています。ただし、大規模な組織では、リソースがセキュリティ標準の低さの理由として受け入れられるべきではありません。セキュリティ予算が厳しく、チームが小規模なエンド ユーザーが、料金を支払い、信頼できると期待しているソリューションのセキュリティ不足を負わされるようなことは決してあってはなりません。
しかし、限られた人材の中からセキュリティの専門知識を持つ人材を獲得するために積極的に競争することだけが唯一の解決策ではありません。シフトレフトやシフトエブリウェアの動きにより、SLDC 全体、さらには開発チーム内でもセキュリティスキルの重要性が長い間強調されてきました。
現在、多くの開発者が効率をさらに高めるために AI コードに注目していますが、出力のセキュリティ リスクを徹底的に評価するためには、安全なコーディングの知識も身に付けることが重要です。開発者のセキュリティ スキルを育成することは、大手ソフトウェア ベンダーにとって、リリースするアプリケーションのセキュリティ向上に真剣に取り組みながら、本番環境の脆弱性の数を減らすための重要な方法です。
すべてのソフトウェア ベンダー内でセキュリティ中心の考え方を育むことは、今日のパッチ適用危機を克服するために不可欠です。セキュリティ チームと開発チームの間には断絶が見られることが多く、セキュリティの目標は競争上の成功と相容れないように思われることがよくあります。責任を共有する文化を推進することで、市場投入までのスピードよりもセキュリティを優先する組織に不利益を与えることなく、SDLC のすべての部門とステージで説明責任を確立できます。
十分な訓練を受け、知識豊富な開発チームとプロジェクト マネージャーが、この変化の基盤となります。残念ながら、多くの組織は開発者向けのセキュリティ トレーニングを優先事項とは考えておらず、68% の組織がコンプライアンス目的またはエクスプロイト発生時のみにセキュア コーディング トレーニングを提供しています。これまで以上に迅速にコードを作成したいという衝動から、開発者のスケジュールではセキュア コーディング トレーニングの短いセッションさえも確保できないことが多く、組織は必要なときのみトレーニングを実施しています。コンプライアンスのチェックボックスをオンにするのは簡単ですが、セキュリティ中心の文化は構築されず、セキュア コードのトレーニング セッションが行われても、自己満足、見落とし、定着率の低下を招くことになります。
業界全体として、トレーニングの普及、頻度、品質が著しく不足しています。ソフトウェア ベンダーは、ソフトウェア セキュリティが顧客にとっての中心的な関心事であり、継続的なトレーニングと厳格なコード レビューのための時間を割り当てる価値があることを理解する必要があります。
積極性が常に答えである
ソフトウェア セキュリティに対する包括的かつプロアクティブなアプローチを構築することで、ソフトウェア ベンダーが失敗した場合に組織がセキュリティ リスクを軽減できるようになります。セキュリティ リーダーの 55% が、開発、コンプライアンス、セキュリティの各チーム間の不一致がパッチ適用の遅延の原因であると報告しています。巨大テクノロジー企業では、この不一致が顕著です。リスクの優先順位に基づいて CVE を評価して対応するプロアクティブなアプローチを採用することで、組織は明確なパッチ適用プロトコルを使用してチームを再編成できます。
対処的な方法ではもはや十分ではない脅威の状況では、教育と検出への投資が不可欠です。社内アプリケーションまたは構成を開発する場合、開発者は、脅威の攻撃者がネットワークに侵入する足掛かりとなる可能性のあるコードを嗅ぎ分ける能力が必要です。安全なアプリケーションをリリースするのはソフトウェア ベンダーの責任ですが、多くの脆弱性は、ソフトウェアが新規または既存のシステムにアップロードされるときに誤った構成から生じます。社内開発者が適切な教育とスキルを持ち、アプリケーションが設計どおりに構成され、使用されるようにし、悪意のある攻撃者が悪用する前に新しい脆弱性を定期的にスキャンすることが絶対に重要です。
現在のパッチ適用危機は、今日の業界で起こっている急速なイノベーションの結果であり、これは本質的に悪いことではありません。しかし、顧客や規制当局がソフトウェア セキュリティのより高い基準を期待するようになるにつれて、組織は「設計によるセキュリティ」の原則とプロアクティブなパッチ管理戦略を自社の社内チームに取り入れることで、パッチ適用危機に正面から対処できるようになります。
AI、アプリケーション セキュリティ、シフトレフト
マイケル・バーチは、Security Journeyのアプリケーションセキュリティ担当ディレクターです。
SD Times を購読する準備はできましたか? クリックするだけです!
元記事: https://sdtimes.com/ai/achieving-security-by-design-is-a-question-of-accountability/