正しくシフトレフトすると、安全なアプリケーションが多く作成される

アプリケーションのセキュリティを改善する標準的な方法として、DevSecOps の世界で「シフトレフト」というフレーズをよく聞きます。しかし、シフトレフトとは何を意味するのでしょうか? またそれを正しく行う方法とは?

ソフトウェアエンジニアの Angela Wen 氏は Christopher 氏と一緒に「シフトレフト」の経験を共有しました。このフレーズの意味が正確に伝える意味の説明から開始し、開発ライフサイクルに適用できる方法に触れます。ソフトウェアエンジニアは一般的にセキュリティ専門家ではない事実と、適切なタイミングで適切な情報を入手できるようにする必要性を実現する方法を含め、この手法を正しく活用するうえで直面する主な課題について強調表示します。

フィールドサービスディレクターの Dan Shanahan 氏はシフトレフトがよく失敗するケースについて説明し、成功を実現するためのガイダンスを提供するために講演します。チーム、デベロッパー、セキュリティ専門家向けに経験の重要性について強調し、成功するために適切なリソースについて説明します。

このような背景により、その後 Angela 氏はセキュアソフトウェアの開発を実現するために利用可能な中核ツールの 2 つについて説明します。プルリクエスト (PR) のタイミングで本来デベロッパーが出会うコードスキャンの紹介から開始します。デベロッパーは作成したコードのフィードバックを求めているため、潜在的なセキュリティ上の欠陥があることを伝えるには最適なチャンスです。GitHub Copilot Autofix はプルリクエスト内で提案された修復方法を直接提供することもでき、デベロッパーが 2 クリックだけでコードをコミットできるようにします。さらに、キャンペーンはチームが既存のセキュリティテクノロジーの負債をグループ化し、修正の生成プロセスを自動化できるようにします。

コードの導入に伴って導入される脆弱性以外には、漏えいトークンがあります。コードベースに組み込まれたら漏えいされるため、特に危険をもたらす可能性があり、キーのローテーション、サービス更新、リスクを軽減するその他のタスクが必要になります。Angela 氏が強調表示したように、シークレットスキャンのプッシュ保護によってこれらのトークンはプッシュ時にブロックでき、コードベースに入る方法を未然と防げることを意味します。

すべてのことに人間の要因を取り入れる重要性の解説をもって講演を終了します。セキュリティチームとデベロッパーの間で対立することがありますが、誰にもメリットをもたらしません。最後に、みんなのニーズを満たすコア原則により、みんなの成功をもたらすきっかけになります。

ドキュメント

ツール

GitHub での AI やその他のイノベーションの戦略的役割について、さらに詳しく知りたいですか? エグゼクティブインサイトで、テクノロジーとビジネスの将来について、ソートリーダーシップの詳細をご覧ください。