セキュリティとソフトウェアデリバリーのどちらを重視しますか。
テクノロジーコミュニティでは、DevSecOpsとアジャイルソフトウェア開発という言葉をしばしば同じ意味で使う傾向があります。両者はリスクの早期発見を目指すなど類似点はありますが、チームの働き方を。
DevSecOps は、アジャイル開発によって確立された原則の一部をベースにしています。しかし、DevSecOps は、アジャイル開発がソフトウェアを提供することに重点を置いているのに対して、特にことに重点を置いています。
Webサイトやアプリケーションをランサムウェアやその他の脅威から保護する方法を知ることは、使用するソフトウェアやシステム開発によって大きく異なります。これは、DevSecOps、アジャイルソフトウェア開発、またはその両方を使用するかどうかに影響するかもしれません。
DevSecOpsとアジャイルソフトウェア開発の違い
この2つの主な違いは、「セキュリティ」という1つの単純な概念に集約されます。ソフトウェア開発のやり方によって、あなたの会社のセキュリティ対策は、いつ、どこで、誰が実施するかは大きく異なります。
すべての企業は、重要なデータを保護するためにITセキュリティを必要としています。組織がITセキュリティに真剣に取り組んでいるのであれば、仮想プライベート・ネットワーク、デジタル証明書、ファイアウォール保護、多要素認証、セキュア・クラウド・ストレージなどを採用し、従業員にも基本的なサイバーセキュリティ対策を導入するのが一般的です。
DevSecOpsを信頼することで、自社のセキュリティを、本質的に継続的インテグレーションとデリバリーと同等にすることができます。 DevSecOpsの方法論は、開発の初期段階でセキュリティを強調し、それをソフトウェア全体の品質の不可欠な部分とします。
DevSecOpsセキュリティの3原則に基づいています:
- ユーザーアクセシビリティとデータセキュリティのバランス
- VPNやSSLで データを暗号化することで、送信中に侵入者からの攻撃を防ぐことができます。
- 新しいコードのセキュリティ脆弱性をスキャンし、そのような脆弱性を開発者に通知できるツールで将来のリスクを予測
DevOpsは常にセキュリティを含むことを意図していましたが、DevOpsを実践しているすべての組織がこのことを念頭に置いているわけではありません。DevSecOpsモデルでは、セキュリティがチームの主要な原動力です 。
同時に、アジャイル開発は反復的な開発サイクルに重点を置いているため、フィードバックを継続的なソフトウェア開発に常に取り入れることができます。アジャイルの主な原則は、変化し続ける環境を受け入れ、顧客とユーザーに競争上の優位性を提供し、開発者と利害関係者が緊密に協力し、プロセス全体を通じて技術的な卓越性に焦点を当て、効率性を推進することです。言い換えれば、アジャイルソフトウェア開発では、アジャイルチームがセキュリティの定義を含めない限り、セキュリティは後回しのようなものです。
防衛組織が直面する課題
米国防総省は、セキュリティを最大限に高めることに熱心な組織のひとつです。2018年、米国防総省はソフトウェア開発における「偽のアジャイル」あるいは「アジャイルという名のアジャイル」に関する6発表しました。このガイドの狙いは、米国防総省の幹部に対して、悪質なプログラミングについて警告を発し、リスクを回避するためにそれを見抜く方法を紹介することです。
このような手法の使用が有益なのは、米国国防総省だけではありません。医療や金融の分野でも、安全に保管しなければならない機密データを大量にアジャイルの主要原則います。
サイバーセキュリティのベストプラクティスを実際の開発に反映させるには、まだリスクが内在しています。物事は100%完璧に機能するわけではありません。よく言えば、若干の違和感があり、悪く言えば、まったく新しいリスクが発生する可能性があります。
開発者、特に軍事用ソフトウェアのコードを書いている開発者は、DevSecOps を採用すべきすべてのコンテキストを十分に理解していないかもしれません。学習曲線は険しいでしょうが、より大きなセキュリティのためには、このような本質的な痛みに耐えなければなりません。
オートメーション時代の新しいパラダイム
先行するセキュリティ対策に対する懸念の高まりに対処するため、米国防総省の請負業者はDevSecOpsモデルの評価を開始しました。重要なのは、この手法を継続的なサービス・デリバリー環境に導入することです。
この問題に対して、3つの方向性が生まれました。1つ目は自動化で、VPNやプライバシーを強化するモバイルOSなど、ほとんどのプライバシーとセキュリティのツールですでに保存しました。います。大規模なクラウド・インフラにおける自動化は、人間のチェック・アンド・バランスに頼る必要がなく、継続的なメンテナンスを自動的に処理し、セキュリティ評価を実行することができます。
つ目は、DevSecOps への移行において重要なセキュリティチェックポイントに焦点を当てます。従来、システムは、データがコンポーネント間を移動してもアクセス可能な状態を維持することを想定せずに設計されてきました。
3つ目の最後のタイプは、軍事ソフトウェア開発にビジネスアプローチを適用することです。国防総省(DoD)の請負業者や職員の多くは、軍よりもむしろ民間部門の出身です。彼らの経歴は、大組織にサイバーセキュリティを提供する知識と経験を提供し、政府部門のポジションに持ち込むことができます。
克服する価値のある課題
DevSecOpsベースの方法論に移行することは、いくつかの課題ももたらします。多くの組織は、アジャイル開発のプラクティスに対応するために、過去10年間に開発ライフサイクルを完全に再構築してきました。
米国防総省でさえこの移行に苦労しており、商業的な技術やツールを広く利用できるようにするための新しいプロセスを展開するという課題に直面しているのは彼らだけではないからです。
今後を考えると、DevSecOpsに切り替えることは、アジャイルソフトウェア開発に切り替えることよりも、実は苦痛ではありません。そして、既存のアジャイル開発を活用するだけでなく、開発ワークフローに加えることで、組織が得るものはたくさんあります。
