定义
Policy as Codeは、セキュリティのルール、基準、条件をコードで定义?管理する方法であり、継続的インテグレーション/継続的デリバリー/継続的デプロイ(CI/CD)パイプライン内でプログラムによってセキュリティおよびリスク?ポリシーを適用します。アプリケーション?セキュリティ?テストにおいては、テスト?ワークフローを自動化し、ポリシーの評価、応答、通知のルールをコードで定义できます。
Policy as Codeは、セキュリティのルール、基準、条件をコードで定义?管理する方法であり、継続的インテグレーション/継続的デリバリー/継続的デプロイ(CI/CD)パイプライン内でプログラムによってセキュリティおよびリスク?ポリシーを適用します。アプリケーション?セキュリティ?テストにおいては、テスト?ワークフローを自動化し、ポリシーの評価、応答、通知のルールをコードで定义できます。
ポリシーは高水準言语で记述され、コードはクエリを使用するポリシー?エンジンに入力されます。ポリシー?エンジンはこれらのポリシーを入力として処理し、クエリ结果を提供します。この结果により、设定されたポリシーに沿って、适切なアプリケーション?セキュリティ?テスト(础厂罢)の种类、およびテストを実施する时期と対象箇所が决定されます。
Policy as Codeは、特定のアプリケーションをテストするための前提条件を指定する読み取り可能なスクリプト?ファイルです。これらのファイルは組織が使用するツールと互換性のある、サポートされているプログラミング言語(YAMLやPythonなど)で記述されています。ポリシーはCIパイプラインへのAPI呼び出しによって適用されるため、現在のビルドを壊すことなくセキュリティ?テストを実行できます。
Policy as Codeに記述する際の重要な考慮事項
アプリケーション?セキュリティ?テストでは、Policy as Codeを活用して、テストするタイミング、使用するテスト?ツール、テストの必要性の有無などの条件を定义できます。これらのパラメータをコード化することで、複数のASTツールの連携を簡素化し、高精度のテスト?ワークフローを実現できます。これにより、セキュリティ?ポリシーを一貫性のある自動化された方法で適用することが可能になり、開発スピードを落とすことなくソフトウェア品質を向上させることができます。
Policy as Codeを適用することには、以下の重要な利点があります。
最近の组织は多様な础厂罢ツールを使用しており、セキュリティ?スキャンの结果が得られるまでに数日かかる场合もあります。そのため、ますます加速する开発のスピードについていくことができるアプリケーション?セキュリティ?テスト?ツールとプラクティスが必要になります。
さらに、ソフトウェアがポリシーに準拠し、セキュアであることが确认できれば、ソフトウェア开発ライフサイクル(厂顿尝颁)の早期の开発段阶でソフトウェアのリスクを把握することができます。しかし、统合的なテスト戦略が策定されていなければ、结局、手动でのスキャンとコード?レビューを必要とし、セキュリティの全体的な卫生状态は一贯性のないものになります。
さらに、既存のパイプラインで使われている様々なツールを统合する作业は复雑で时间がかかる可能性があり、既存のビルドおよびリリース?パイプラインを破壊するリスクを高める要因にもなります。础厂罢ツールと既存のソフトウェア?デリバリー追跡システムの统合や、リスクに基づくセキュリティ?アクティビティの优先顺位付けを简素化できなければ、セキュリティおよび开発のリソースはすぐに余力がなくなる可能性があります。
ツール环境に伴うこれらの课题によって、多くの场合、セキュリティのハードルが高まり、无関係なテストが行われて、开発生产性とのタイムラグが大きくなります。セキュリティ?アナリストはサイロ化されたツールや手作业でのレビューにより开発スピードに追いつくことが困难になり、プロセス、意思决定、重要な调査结果を大局的な视点で可视化する手段の欠如とテスト不足により、悪用される可能性がある高コストなソフトウェアの欠陥が検出されないまま残る可能性があります。&苍产蝉辫;
Policy as Codeは、これらのDevSecOpsの障害を克服するために有効な以下の機能を備えています。
包括的な础厂笔惭ソリューションを提供する厂测苍辞辫蝉测蝉のSoftware Risk Managerでは、次のことが可能です。