Cover Image

OWASP 2023 Global AppSec が Dublin で開催: 細かなところまで見る DevSecOps の文化
2023/3/23 - 読み終える時間: 2 分

DevSecOps Culture Under the Microscope at OWASP 2023 Global AppSec, Dublin の翻訳版です。

OWASP 2023 Global AppSec が Dublin で開催: 細かなところまで見る DevSecOps の文化

2023年3月21日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

ダブリン 海辺の街。アイルランドの首都。ギネスの故郷。そして、最近では、OWASP 2023 Global AppSec Conferenceの開催地となりました。2月中旬に開催されたこの4日間のイベントでは、教育トレーニング、セキュリティ業界の専門家による会議、HCL AppScan を含む多くのテクノロジープロバイダーによるブースを備えた展示会場が設けられました。

OWASP (Open Worldwide Application Security Project) は、ソフトウェアのセキュリティ向上に取り組む非営利財団です。コミュニティ主導のオープンソースソフトウェアプロジェクトを通じて、世界中に数百のローカルチャプターを持つOWASP財団は、開発者や技術者がウェブを安全にするための情報源となっています。

セキュリティの分野では、OWASPはThe OWASP Top 10で最もよく知られています。これは、開発者とウェブアプリケーションセキュリティの実務者のための標準的な認識文書で、ウェブアプリケーションの最も重大なセキュリティリスクに関する幅広いコンセンサスを示しています。

画像の説明

このイベントのハイライトは、脅威のモデル化、ハッキング、API(Application Programming Interfaces)の防御、人工知能など、アプリケーション・セキュリティに関する幅広いトピックを扱う一連のスピーカーです。

特に目立った講演は、Kerr VenturesのCEOでApplication Security PodcastのホストであるChris Romeroによる「Ten DevSecOps Culture Failures」でした。クリスは25年の経験をもとに、DevOps文化全体におけるセキュリティの役割を改善する方法について、ハイレベルな議論を展開しました。以下は、この講演から得たいくつかの重要なポイントです。

  • 全員(開発者)にセキュリティの基礎を教えるが、コーディングもセキュリティに教える。クリスは、セキュリティチームが開発者やDevOpsと別々に仕事をしていた時代はとっくに終わり、DevSecOpsを成功させるには、全員がお互いの役割と責任を理解し、より協力的なアプローチが必要だと力説しました。

  • "NO を捨てて、YES を試す" セキュリティはゲートキーパーであることを意識せず、セキュリティのベストプラクティスを盛り込んだ革新的なアイデアを開発者に提供する方法を模索する必要がある。クリスは、共感することがこの変化の重要な要素であることを示唆し、開発者がセキュリティツールを使用する際に直面する課題をよりよく理解するために、開発者の作業中に一緒に座る時間を持つことを聴衆に勧めました。

  • 重要でないセキュリティの知見で、誰の時間も無駄にしないこと。開発者が重要な脆弱性を示すわけでもない何百ものチケットに圧倒されないように、今あるツールを調整し、最小限のポリシーで新しいツールを導入してください。クリスは、セキュリティが開発者にツールを使ってもらいたいなら、まず彼らがそれを気に入る必要があり、それは、より少なく、よりインパクトのある発見を提供することで達成されると明言しました。

その他、脅威のモデリングの重要性や、サードパーティ製アプリケーションの脆弱性からパイプラインを保護するためのSCA(Software Composition Analysis)等のツールの統合など、興味深いトピックが取り上げられました。最後のコメントでは、50年後には、変化し続けるセキュリティツールそのものよりも、DevOpsの文化やそこに含まれる価値観や方法論の方がはるかにインパクトのあるものになるだろうと予測した。

YouTubeで講演全体を聞くには、ここをクリックしてください。

HCL AppScanは、安全なソフトウェアの開発に関して、開発パイプラインのすべての人がソリューションの一部となることを可能にするアプリケーションセキュリティテストツールの開発に取り組んでいます。詳細については、オンライン でご確認いただくか、今すぐ無料トライアル にご登録ください。

Search

Categories

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Actian Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient nds2019 ndv12beta Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベント ガイド クラウド サポート サポート技術情報 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム パートナー ライセンス 九州地区 Notes パートナー会 出荷日 研修