GitHub で DevSecOps の成熟度を高める
August 13, 2020 // 1 min read
この 1 年半の間、GitHub は GitHub Actions を使用したネイティブの CI/CD 機能を追加し、完全な開発プラットフォームに急速に進化してきました。一方で、GitHub Advanced Security を使用して GitHub Enterprise に DevSecOps をネイティブに実装できることをご存じない方もいらっしゃるのではないでしょうか。
その方法を学ぶ前に、DevSecOps の成熟度の定義について 確認しておきましょう。OWASP は DevSecOps Maturity Model (DevSecOps 成熟度モデル、DSOMM) フレームワークを作成し、 DevOps 戦略を用いるときに適用できる アプリケーション セキュリティの基準と、 その優先順位の付け方を示しました。DSOMM では、セキュリティ プログラムの有効性を レベル 1 (最も成熟度が低い) から レベル 4 (完全実装された (DevSecOps プログラムが DevOps のプラクティスが組み込まれている) まで段階的に向上させることを目指します。
DSOMM には次の 4 つの主要な評価基準があります。
- 静的な深度: アプリケーション セキュリティ CI パイプライン内で実行している 静的コードスキャンがどの程度包括的であるか
- 動的な深度: アプリケーション セキュリティ CI パイプライン内で実行されている動的スキャンが どの程度包括的であるか...
この続きは PDF をダウンロードしてご覧ください →
Tags