« 英国 Oxford Academic サイバー保険市場における持続可能なリスク移転の障壁 | Main | 米国 NIST CSWP 29 NISTサイバーセキュリティフレームワーク(CSF)2.0 »

2024.02.28

Cloud Security Alliance DevSecOpe 柱2:コラボレーションと統合 (2024.02.20)

こんにちは、丸山満彦です。

CSAが「DevSecOpsの6つの柱:柱2:コラボレーションと統合」を公開していますね。。。

2019年から始まっていますが、これで残すところ後1つ...それも3月に発行予定だそうです!

6つの柱は...

発行日 Publication in the Series シリーズ刊行物
2019.08.07 Overview: Six Pillars of DevSecOps 概要 DevSecOpsの6つの柱
2020.02.21 Pillar 1: Collective Responsibility 柱1:集団的責任
2024.02.20 Pillar 2: Collaboration and Integration 柱2:コラボレーションと統合
2022.12.14 Pillar 3: Pragmatic Implementation 柱3:実用的な実装
2022.02.08 Pillar 4: Bridging Compliance and Development 柱4:コンプライアンスと開発の橋渡し
2020.07.06 Pillar 5: Automation 柱5:自動化
2024.03予定 Pillar 6: Measure, Monitor, Report and Action 柱6:測定、監視、報告、行動

 

● Computer Security Alliance

・2024.02.20 The Six Pillars of DevSecOps - Collaboration and Integration

The Six Pillars of DevSecOps - Collaboration and Integration DevSecOpsの6つの柱 - コラボレーションと統合
Security can only be achieved through collaboration, not confrontation” is one of the defining principles of DevSecOps. Essentially, security is a team sport that requires various organizational roles to work together, including business leaders, domain experts, security personnel, architects, software developers, pentesters, SOC analysts, and product managers. This collaboration ensures that the threat landscape is well understood and that the organizational practices for IT activities, including the software development lifecycle, follow proper security hygiene. 「セキュリティは、対立ではなく協調によってのみ達成できる」というのが、DevSecOps を定義する原則の一つである。基本的に、セキュリティはチーム・スポーツであり、ビジネス・リーダー、ドメイン・エキスパート、セキュリティ担当者、アーキテクト、ソフトウェア開発者、ペンテスター、SOCアナリスト、プロダクト・マネージャーなど、さまざまな組織の役割が協力する必要がある。この連携によって、脅威の状況が十分に理解され、ソフトウエア開発ライフサイクルを含む IT 活動の組織的な実践が適切なセキュリティ衛生に従って行われるようになる。
This document highlights this fundamental DevSecOps principle. It provides practical insights that help organizations build a unified environment where security is not an isolated function, but an essential part of software development. This includes how to promote regular, open, and proactive communication between all parties, ensuring that all stakeholders are involved, informed, and working towards a shared vision. 本書は、このDevSecOpsの基本原則に焦点を当てる。セキュリティが孤立した機能ではなく、ソフトウェア開発の本質的な部分となるような統一された環境を組織が構築するのに役立つ実践的な洞察を提供する。これには、すべての関係者間で定期的かつオープンで積極的なコミュニケーションを促進し、すべての利害関係者が確実に関与し、情報を入手し、共有されたビジョンに向かって取り組む方法も含まれる。
Key Takeaways:  重要なポイント 
・Guiding principles for successful DevSecOps communication ・DevSecOps コミュニケーションを成功させるための指導原則
・How to implement a continuous role-based security training program at an organization ・組織で継続的に役割ベースのセキュリティトレーニングプログラムを実施する方法
・How various organizational roles collaborate in an end-to-end DevSecOps delivery pipeline ・エンドツーエンドの DevSecOps デリバリパイプラインにおいて、さまざまな組織の役割がどのように連携するか
・The communication and collaboration required amongst various organizational roles to integrate a new acquisition into existing DevSecOps processes ・新たな買収案件を既存の DevSecOps プロセスに統合するために、様々な組織的役割の間で必要となるコミュニケーションとコラボレーションの方法
・How DevSecOps collaboration principles apply to other technology practices and trends such as Zero Trust, AIOps, and MLSecOps ・DevSecOpsコラボレーションの原則を、ゼロトラスト、AIOps、MLSecOpsなどの他の技術プラクティスやトレンドにどのように適用するか
・This publication is part of an entire series on the Six Pillars of DevSecOps. You can find all the papers in the series that have been released so far here. ・本書は、DevSecOpsの6つの柱に関するシリーズ全体の一部である。これまでに発表されたシリーズの全ペーパーはこちらからご覧いただける。

 

20240227-94130

 

目次...

Acknowledgments 謝辞
Foreword まえがき
Introduction 序文
Goals 目標
Audience 想定読者
Guiding Principles for Successful DevSecOps Collaboration and Integration DevSecOps のコラボレーションと統合を成功させるための指針
The Why and How of a Role-Based Security Training Program 役割ベースのセキュリティトレーニングプログラムの理由と方法
Collaboration and Integration in the End-to-End DevSecOps Delivery Pipeline エンドツーエンドのDevSecOpsデリバリパイプラインにおけるコラボレーションと統合
Integration Process of a New Acquisition into DevSecOps Delivery Pipeline DevSecOpsデリバリパイプラインへの新規買収の統合プロセス
DevSecOps Case Studies DevSecOpsケーススタディ
Convergence Between DevSecOps and Other Technology Practices DevSecOpsと他の技術プラクティスの融合
References 参考文献

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.11 Cloud Security Alliance DevSecOpe 柱4:コンプライアンスと開発の架け橋

・2020.07.08 CSAが「DevSecOpsの6つの柱:自動化」を公開していますね。。。

 

|

« 英国 Oxford Academic サイバー保険市場における持続可能なリスク移転の障壁 | Main | 米国 NIST CSWP 29 NISTサイバーセキュリティフレームワーク(CSF)2.0 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 英国 Oxford Academic サイバー保険市場における持続可能なリスク移転の障壁 | Main | 米国 NIST CSWP 29 NISTサイバーセキュリティフレームワーク(CSF)2.0 »