サイトアイコン

アプリセキュリティにおける誤り-3部:アプリセキュリティを開発プロセスと統合しないと、生産性は低下します。

AppSec Mistake 3 Failure to integrate AppSec practices with development processes reduces productivity

以前紹介したアプリセキュリティ適用失敗の事例につづき、繰り返し発生するにも関わらず認識できない代表的な誤りを紹介したいと思います。製品開発のためDevOpsモデルを使用するソフトウェア会社が、アプリセキュリティ適用に、常に失敗することが判明しました。その理由は、DevOps上でセキュリティテスターは、開発サイクルが終了する頃にアプリケーションのテスティングを実行していた方式から、継続的なフィードバックベースのセキュリティ保証モデルへ移行しなければならなかったためです。このようなアジャイルのアプローチだけでも、市場へのリリース時期を妥協することなく、タイムリーかつ継続的な配布モデルと効率的な開発の戦略を保障することができます。企業家は、アプリケーションの開発ライフサイクル全般にかけて、セキュリティ戦略を知能的に統合すべき時期が迫っていることを認識しなければなりません。DevOpsからOevSecOpsモデルへのマイグレーションは、後に開発サイクルにおいてアプリセキュリティリスク処理時間の最少化に役立ちます。

迅速な開発のための統合テスト

世界のほとんどのソフトウェア会社はアジャイル開発の方法論を素早く取り入れ、開発チームは迅速かつ多機能なスプリントの具現化を要求しています。統合されたアプリセキュリティテストによって、アプリケーション開発プロセスで、どこでも発生し得る下記のような問題を避けることができます。

CI/CDモデルと並行して実施するアプリセキュリティテスト

AppSealingなどのアプリセキュリティツールを統合すると、開発チームはセキュリティ問題を直感的で、かつ容易に解決することができます。これは、全体のコードライフサイクル中に効率的な方法でチームの努力を補ってくれます。

CI/CD(Continuous Integration and Continuous Deployment / Delivery)開発モデルによりソフトウェア会社はクライアントと最終ユーザに対し、より素早く価値を提供するとともに、費用を節減することができます。開発者はセキュリティポリシーに従ってコーディング原則を適用することが欠かせないため、 CI/CDは不要な開発テストサイクルを除去し、アプリケーション配布に費やされる時間を節約します。

CI/CDは、コーディング段階でハッカーの視点で企業の重要機能をレビューするプロセスを実施します。これにより、セキュリティホールの範囲は最少化されます。ライブシナリオへ移行される前に、アプリケーションでセキュリティホールを検索することは、より効率的な方法です。ライブ段階でバグを修正し、リグレッションセキュリティテストを実行すると、誤ってバグをライブ環境に反映するおそれがあるため、危険です。ハッカーは、これを利用して攻撃を加えることができます。

アプリセキュリティイシューの追跡

知能的なイシュートレッキングシステムとDevSecOps環境の統合は、開発者を大きくサポートしてくれます。AppSealingで発見したセキュリティ問題を追跡・解決すると、このイシューは自動的に閉じられます。この方法を用いれば、セキュリティイシューを手動で追跡することで発生し得るイシューの追跡漏れの危険から解放されます。

結論として、自動化されたセキュリティテストは、他の品質検査とともに様々なアプリケーションリリースにおいて強力かつ安全なビルド管理を保障する効果的な方法です。開発者の作業サイクルに関わらず、統合されたアプリセキュリティはチームの生産性を高め、より優れたリスク管理を可能にします。過去に犯した失敗を学びに変え、同じような失敗を繰り返さないようにすることが重要です。頻繁に繰り返すアプリセキュリティの落とし穴を認識・予防することは、後で「治療」を模索するよりも望ましいことなのです。

モバイルバージョンを終了