AYALA GOLDSTEIN による 9 Great DevSecOps Tools for Dev Teams to Integrate Throughout the DevOps Pipeline の Google 翻訳(とちょっと校正)です。
2018年6月の記事なので今更感がありますが・・・
9 Great DevSecOps Tools for Dev Teams to Integrate Throughout the DevOps Pipeline
DevSecOps アプローチを採用するには、組織全体で態度を変える必要があり、プロセス、異なるチーム間の関係、および使用するツールに適用されます。
この種の組織の変更は常に課題ですが、ますます多くの企業や組織が、セキュリティプラクティスを変更して DevOps サイクルに組み込むための協調的な努力を行っています。最近の DigiCert の調査によると、調査対象の組織のほぼ半数はセキュリティを DevOps と統合するプロセスにあると述べ、残りはすでに統合を完了していると述べています。
Automation is in the Heart of DevSecOps Approach
DevSecOps アプローチの主要なコンポーネントの1つは自動化です:
SDLC(Systems Development Life Cycle)全体を通じて、できるだけ早く、多くの場合、セキュリティは開発ライフサイクル全体に組み込まれ、時間とお金を節約しながら、セキュリティチームと開発チーム間の摩擦を減らします。
開発ライフサイクル全体でセキュリティが継続的に処理されるように、組織が DevOps パイプラインに統合できる主要な DevSecOps ツールのリストをまとめました。
#1 Continuum Security
このサイバーセキュリティ会社は企業組織に脅威モデリングプラットフォーム IriusRisk を備えたアプリケーションセキュリティ要件および脅威管理ソリューションを提供しています。このプラットフォームにより、開発者やセキュリティアナリストがアプリケーションの設計段階からソフトウェアの脆弱性に対処できるようになり、安全な設計アクティビティを自動化および拡張できます。
このタイプの自動化された DevSecOps ソリューションを開発ライフサイクルの開始時に追加すると、チームは開発プロセスの早い段階で最も簡単かつ安価にセキュリティリスクに対処できます。
Continuum 社はセキュリティテストを開発パイプラインに統合するための、企業向けのオープンソースの動的テストツールである BDD-Security フレームワークも提供しています。このフレームワークはほとんどの一般的な課題追跡システムである SAST、DAST、ユニットテストフレームワークと互換性があり、ネイティブでサポートしていないものに対してオープンAPIを提供します。これによりチームは脅威モデルのコンテキストでテストを問題トラッカーと自動的に同期できます。 IriusRisk API は組織の継続的デリバリーパイプラインに統合することもできます。これによりリスクプロファイルを満たさないコードは本番環境に展開されません。
#2 ThreatModeler
ThreatModeler は Web ベースのプラットフォームに依存しないソリューションを提供する自動脅威モデリングプラットフォームです。ユーザーがアプリケーションまたはシステムに関する機能情報を提供すると、ThreatModeler は自動的に情報を分析します。関連する潜在的な脅威は正確な脅威インテリジェンスに基づいて識別されます。 ThreatModeler はユーザーがソフトウェア開発またはネットワークセキュリティに必要とする実用的な出力をリスク別にランク付けして提供することを約束します。 ThreatModeler はセキュリティ要件とテストケースを緩和して、セキュリティの実装を保証します。
#3 Evident.io
展開段階のクラウドセキュリティソリューションである Evident Monitoring&Compliance を使用すると、組織はすべての AWS および Azure サービス全体でクラウドセキュリティリスクを予防的に評価および管理でき、すべてのアカウントおよびリージョンの読みやすい集計ビューを提供できます。
Evident Security Platform(ESP)はユーザーの AWS クラウドを継続的に監視し、セキュリティの誤った構成を自動的に特定し、ガイド付きの修復によりリスクを迅速に軽減します。
#4 Checkmarx
このSAST(静的アプリケーションセキュリティテスト)ツールはセキュリティの脆弱性を示す欠陥がないかアプリケーションのコードを分析します。 Checkmarx の SAST ツールを使用すると開発者は未コンパイル/未ビルドのコードを自動的にスキャンし、20以上の言語のセキュリティ脆弱性を特定し、コードのセキュリティ状態に関する迅速なフィードバックと実用的な修正アドバイスを提供できます。このツールはすべての IDE、ビルド管理サーバー、バグ追跡ツール、およびソースリポジトリと統合します。
#5 Contrast Security
このクルーはランタイムアプリケーション自己保護(RASP)およびインタラクティブアプリケーションセキュリティテスト(IAST)ソリューションを提供します。
Contrast Security のソリューションはユーザーのアプリに統合され、バックグラウンドで継続的に動作します。 Contrast Assess という名前の Contrast Security Suite の最初の部分は、脆弱性が発見されると開発者に警告します。スイートの2番目の部分は Contrast Protect と呼ばれ、同じ組み込みエージェントを使用し、実稼働環境で動作し、エクスプロイトと未知の脅威を探し、見つかったものを SIEM コンソール、次世代ファイアウォール、または既に設置されているその他のセキュリティツールに報告します。
#6 IMMUNIO
この会社は特許取得済みのクラウドベースのランタイムアプリケーション自己保護(RASP)ソリューションを提供しています。オンラインアプリケーションおよび Web サイト訪問者をアプリケーションレイヤー攻撃から保護することを約束し、Scala、PHP、Python、Ruby、Node.JS、Java などの一般的なフレームワークと互換性があります。
IMMUNIO ソリューションには攻撃者に関する情報や攻撃者が悪用しようとするコードの脆弱性など、リアルタイムのセキュリティ分析が含まれています。IMMUNIO はさらに、セッションファーミング、資格情報のスタッフィング、およびスキャンツールの検知から保護します。
#7 Aqua Security
この製品は、DevSecOps パイプライン全体でコンテナーセキュリティを提供します。 Aqua のクラウドネイティブセキュリティプラットフォームはユーザーにコンテナ化された環境を完全に制御し、厳格なランタイムセキュリティ制御と侵入防止機能を大規模に提供します。
このプラットフォームは統合と自動化を容易にする API をユーザーに提供します。 Aqua Container Security Platform は、Windows または Linux だけでなく、オンプレミスまたはクラウドで実行されるコンテナー化アプリケーションを保護するための完全な SDLC コントロールを提供します。このプラットフォームは、さまざまなオーケストレーション環境をサポートしています。
#8 Dome9 Security
すべてのパブリッククラウド環境とハイブリッドクラウド環境にセキュリティとコンプライアンスを提供することを目的としたエージェントレスの SaaS ベースのソリューションです。 Dome9 プラットフォームは、ネットワークセキュリティ、IAM 保護、コンプライアンス、ガバナンスの3つの主要なセキュリティ分野で機能を提供します。
Dome9 は AWS、Azure、Google Cloud 環境でのセキュリティとコンプライアンスの完全な可視性と制御をユーザーに提供します。
#9 WhiteSource
DevSecOps ツールが対応していない別のタイプのリスクは、オープンソースの脆弱性です。今日の典型的なアプリケーションには60%から80%のオープンソースコードが含まれることを考慮すると、組織がオープンソースのセキュリティ管理を怠らず、DevSecOps パイプライン全体でオープンソースのリスクを追跡および警告する専用ソリューションを展開することが非常に重要です。
WhiteSource は SDLC に統合され、200を超えるプログラミング言語、およびさまざまなビルドツールと開発環境と互換性があります。バックグラウンドで自動的かつ継続的に実行され、オープンソースコンポーネントのセキュリティ、ライセンス、品質を追跡し、それらをホワイトソースのオープンソースリポジトリの包括的なデータベースと照合します。
Which DevSecOps Tools are Right for You?
組織全体で DevSecOps アプローチを採用するのは簡単なことではありません。ローマは1日で建てられたものではなく、組織の変更は夜通し行われません。
適切な自動化された DevSecOps ツールを選択することは、開始するのに最適な方法です。組織のシステムとネットワーク、プロセス、およびチームについて考え、最も役立ち、簡単にフィットするツールから始めます。
SDLC 全体で製品を保護するのに役立つ適切な自動化ツールを使用することで、開発チームは最終段階に近づいたときに図面ボードに送り返すためのセキュリティを必要とせずに、価値の高い成果物でリリーススケジュールを満たすことができます。
- 訳者後書き
- 一つも知っているツールがなかった
- Gauntlt や Veracode、Red Hat OpenShift、ZAP は出てくると思っていたが。
- 良さそうなのもあったけど、お高いんでしょう?
- 調べてみました。
- 一つも知っているツールがなかった
| Product | Price | Remarks |
|---|---|---|
| IriusRisk | ASK | 価格はアプリ数によるらしい。Community Edition がある |
| ThreatModeler | ASK | |
| Evident.io(ESP) | $199 per month and scale to support any size AWS environment | |
| Checkmarx | ASK? | |
| Contrast Security | ASK | Community Edition がある。日本の代理店もある |
| IMMUNIO | Free~$999 | |
| Aqua Security | GCP Marketplace で $0.33/hour | |
| Dome9 Security | ASK | |
| WhiteSource | $4,000~ |
- 個人的にはこのスライドの方が勉強になった。