« Cloud Security Alliance クラウドセキュリティとテクノロジーの成熟度調査 | Main | Cloud Security Alliance 製造業におけるサイバーセキュリティのベストプラクティス »

2022.02.11

Cloud Security Alliance DevSecOpe 柱4:コンプライアンスと開発の架け橋

こんにちは、丸山満彦です。

Cloud Security Allianceが「DevSecOpsの6つの柱:自動化」を公開していますね。。。

1: Collective Responsibility5: Automationに続いて3つ目のドキュメントとなりますね。。。多分...

DevSecOpsの6つの柱ですが・・・

Overview: Six Pillars of DevSecOps (2019.08.07) 概略:DevSeOpsの6つの柱 (2019.08.07)
Pillar 1: Collective Responsibility (2020.02.20) 柱1:集団的責任 (2020.02.20)
Pillar 2: Training and Process Integration 柱2:トレーニングとプロセスの統合
Pillar 3: Pragmatic Implementation 柱3:実践的な実施
Pillar 4: Bridging Compliance & and Development (2022.02.08) 柱4:コンプライアンスと開発の架け橋 (2022.02.08)
Pillar 5: Automation (2020.07.06) 柱5:自動化 (2020.07.06)
Pillar 6: Measure, Monitor, Report & and Action 柱6:測定、監視、報告、行動

 

Cloud Security Alliance (CSA)

・2022.02.08 DevSecOps - Pillar 4 Bridging Compliance and Development

DevSecOps - Pillar 4 Bridging Compliance and Development DevSecOps - 柱4:コンプライアンスと開発の架け橋
Overview 概要
This document provides guidance to ensure the gap between compliance and development is addressed by recognizing compliance objectives, translating them to appropriate security measures, and identifying inflection points within the software development lifecycle where these controls can be embedded, automated, measured, and tested in a transparent and easily understood way. この文書は、コンプライアンスの目的を認識し、それを適切なセキュリティ対策に変換し、ソフトウェア開発ライフサイクル内の変曲点を特定することで、コンプライアンスと開発の間のギャップに確実に対処するためのガイダンスを提供します。
Backstory 背景
This document continues the DevSecOps Six Pillars series, with a particular focus on how we can automate compliance, and have it better relate to security requirements. Historically compliance requirements have quickly become outdated, as they are managed separately from the code they relate to. Turning those requirements into automated equivalents help keep them relevant as applications and infrastructure evolve. このドキュメントは、DevSecOpsの6つの柱シリーズの一つで、特にコンプライアンスを自動化し、セキュリティ要件との関連性を高める方法に焦点を当てています。これまで、コンプライアンス要件は、関連するコードとは別に管理されていたため、すぐに時代遅れになってしまいました。これらの要件を自動化された同等のものに変えることで、アプリケーションやインフラの進化に合わせて、要件を適切に保つことができます。
Keywords, Takeaways キーワード、留意点
・DevSecOps ・DevSecOps
・Security compliance ・セキュリティ・コンプライアンス
・Compartmentalization ・コンパートメント化
・Collective responsibility ・集団的責任
・Software development ・ソフトウェア開発
・Secure development lifecycle (SDLC) ・安全な開発ライフサイクル(SDLC)
・Continuous assessment ・継続的評価
・“as-Code” model (Infrastructure-as-Code, Compliance-as-Code, Policy-as-Code, etc) ・「as-Code」(Infrastructure-as-Code、Compliance-as-Code、Policy-as-Codeなど)モデル

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220210-234428

Foreword 序文
1. Introduction 1. はじめに
1.1 Goal 1.1 目標
1.2 Audience 1.2 想定読者
2. Assessment 2. 評価
2.1 Shared Responsibility with Cloud Service Providers 2.1 クラウドサービス事業者との責任分担
2.1.1 Next Steps 2.1.1 次のステップ
2.2 Point-in-Time and Continuous Assessments 2.2 ポイントインタイムおよび継続的なアセスメント
3 Mindset 3 マインドセット
3.1 Compliance Using Value Stream Mapping 3.1 バリューストリームマッピングによるコンプライアンス
3.2 Translate Compliance Objectives to Security Measures 3.2 コンプライアンスの目的をセキュリティ対策に反映させる
3.2.1 Monitoring at the Pipeline 3.2.1 パイプラインでのモニタリング
4. Tooling 4. ツール
4.1 Embrace an “as-Code” Model 4.1 「as-code」モデルの採用
4.2 Embracing DevSecOps Approaches to Testing 4.2 テストに対するDevSecOpsアプローチの導入
4.3 Tracking Open-Source Risk 4.3 オープンソースのリスクを追う
4.4 Guardrails 4.4 ガードレール
4.5 Patterns and Templates 4.5 パターンとテンプレート
5. Summary 5. まとめ
References 参考文献
Glossary 用語集
Acronyms 頭字語

 

 


参考

・2021.09.09 Six Pillars of DevSecOps Series

 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.07.08 CSAが「DevSecOpsの6つの柱:自動化」を公開していますね。。。

 

 

|

« Cloud Security Alliance クラウドセキュリティとテクノロジーの成熟度調査 | Main | Cloud Security Alliance 製造業におけるサイバーセキュリティのベストプラクティス »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« Cloud Security Alliance クラウドセキュリティとテクノロジーの成熟度調査 | Main | Cloud Security Alliance 製造業におけるサイバーセキュリティのベストプラクティス »