« MITRE ATT&CKのVer 7.0がリリースされましたね。。。 | Main | HIDDEN COBRA(北朝鮮?)が米国や欧州のオンラインストアに侵入しクレジットカード番号を取得している? »

2020.07.08

CSAが「DevSecOpsの6つの柱:自動化」を公開していますね。。。

こんにちは、丸山満彦です。

CSAが「DevSecOpsの6つの柱:自動化」を公開していますね。。。Collective Responsibilityに続いて2つ目のドキュメントとなりますね。。。

システムの設計から実装、テスト、リリースに至るまで、ソフトウェア開発・実装のライフサイクル全体を通して、セキュリティチェックを統合して監視することが必要なのですが、DevOpsが進むとセキュリティについても動的に対応する必要があり、自動化が不可欠となってくるということでしょうね。。。

6つの柱は

です。日本語にすると、

  1. 集団的責任 [Down Loaeded PDF](2020.02.20)
  2. トレーニングとプロセスの統合
  3. 実践的な実施
  4. コンプライアンスと開発の架け橋
  5. 自動化 [Down Loaded PDF](2020.07.06)
  6. 測定、監視、報告、行動

となりますね。。。

 

● Computer Security Alliance

・2020.07.07 (News) Cloud Security Alliance Publishes New Paper, The Six Pillars of DevSecOps: Automation

Document provides practical advice for integrating automated security into software development lifecyclez

・ 2020.07.06 The Six Pillars of DevSecOps: Automation


自動化は、DevSecOps の重要な要素である。なぜならば、プロセスの効率化を可能にし、開発者、インフラストラクチャ、情報セキュリティチームにとって、複雑な成果物で手動の作業やエラーを繰り返すのではなく、価値を提供することに集中できるようになるからである。この文書では、継続的なソフトウェア開発のデプロイサイクル全体を通して自動化されたセキュリティアクションを列挙する、リスクベースのセキュリティ自動化アプローチに焦点を当てている。

・[PDF]

-----

Table of Contents

Foreword
Introduction
 0.1 Background
 0.2 Purpose
 0.2 Audience

1. Scope

2. Normative References

3. Terms and Definitions

4. CSA DevSecOps Software Delivery Pipeline
 4.1 General
 4.2 Structure
  4.2.1 General
  4.2.2 Stages
  4.2.3 Triggers
  4.2.4.Activities
  4.3 Setting up and Maintenance of Pipeline

5. Risk-prioritized Pipelines
 5.1 General
 5.2 Risk Factors
  5.2.1 Application Risk
  5.2.2 Risk of Proposed Change
  5.2.3 Risk of Reliability History of Pipeline and its Deliverables
 5.3 Prioritization of Pipeline Configuration

6. Delivery Pipeline Activity Framework
 6.1 General
 6.2 Securing Design
 6.3 Securing Code
 6.4 Securing Software Components
 6.5 Securing Applications
 6.6 Securing Environment
 6.7 Managing Secrets

7. Automation Best Practices
 7.1 General
 7.2 Mitigating Vulnerabilities
 7.3 Asynchronous Testing (Out-of-band Testing)
 7.4 Continuous Feedback Loops
 7.5 Breaking Builds

8. Conclusion

References


|

« MITRE ATT&CKのVer 7.0がリリースされましたね。。。 | Main | HIDDEN COBRA(北朝鮮?)が米国や欧州のオンラインストアに侵入しクレジットカード番号を取得している? »

Comments

Post a comment



(Not displayed with comment.)




« MITRE ATT&CKのVer 7.0がリリースされましたね。。。 | Main | HIDDEN COBRA(北朝鮮?)が米国や欧州のオンラインストアに侵入しクレジットカード番号を取得している? »