TOPSoftware > DevSecOpsの重要性と課題(下)

Software

DevSecOpsの重要性と課題(下)

2018/02/02

David Taber CIO

 DevSecOpsのシンプルな前提は、ソフトウエア開発ライフサイクルに携わる全員がセキュリティに責任を負うということだ。本質的に、開発(Dev:development)および運用(Ops:operations)の職務と、セキュリティ(Sec:security)の職務とを統合する。DevSecOpsは、開発プロセスのすべての部分にセキュリティを取り入れることを目指す。

前回から続く)

DevSecOpsの成果と今後の課題

 開発、セキュリティ、運用の各チームを統合したことで、実際に成果を得ている企業もある。責任の共有によって、フィードバックループの短縮、インシデントの減少、セキュリティの向上などを実現している。米WhiteHat Securityの最高セキュリティリサーチ責任者、Ryan O'Leary氏は、迅速かつ安全にコードをリリースすることは多くの企業にとってプラスになると話す。「アプリケーションのセキュリティプログラムが効果的かどうかを示す重要な尺度の1つが、発見された脆弱性の修正にかかる時間だ。出現した問題への対応と優先順位づけという面で、チームがどの程度俊敏なのかが分かる」

 「当社の顧客企業で見ると、本番環境の動的解析で見つかった脆弱性の修正に要した日数は、平均的な企業では174日だったのに対し、DevSecOpsを導入している企業では92日で済んだ。また、開発環境の静的解析で見つかった脆弱性は、平均的な企業は113日だったのが、DevSecOpsの導入企業は51日だった。実に劇的な改善だ。さらには、最終的に修正されたすべての脆弱性のうち、修正が10日で済んだ脆弱性の割合は、平均的な企業は15%止まりだったのに対し、DevSecOpsの導入企業は53%だった」

↑ページ先頭へ