2020年5月7日、英語版ブログに "Empower Your Developers to Manage Application Security Vulnerabilities on their Own" が掲載されました。その翻訳版を掲載します。
開発者がアプリケーションセキュリティーの脆弱性を自分で管理できるようにする
Florin Coada
HCL
過去数年間、誰もがセキュリティーをより真剣に受け止めていることは心強いことです。個人レベルと企業レベルの両方 (およびその間のすべて) で、ユーザーがセキュリティー侵害の潜在的な被害者にならないようにと、関心がさらに高まっています
私は「セキュリティー違反 (cyber-attack)」ではなく「サイバー攻撃 (security breach)」と言いたくなりましたが、実際には、多くの場合、これらは複雑な攻撃ではなく、まったく攻撃ではありません。誰かが基本的なことをカバーするのを忘れており、攻撃者や好奇心の強い個人がシステムの弱点を悪用している。デフォルトの資格情報の変更を忘れ、管理ポータルへの匿名アクセスを許可し、外部からのデータを消去しない例がいくつかあり、この手のことが多数あります。
アプリケーションセキュリティーの台頭
企業がこれらのミスを回避し、頭痛の種になる前にそれらを見つけることができるツールの大きな市場があります。最近多くの注目が集まっている分野の1つは、アプリケーションセキュリティーです。BA や Equifax などで発生した最近の高レベルの違反により、このセキュリティーセグメントが拡大し、注目が集まっています。
ただし、アプリケーションセキュリティーは興味深い課題です。私たちのゴールは、開発者がより良いコードを記述し、コードのバグのリリースを回避し、潜在的なセキュリティー違反を防ぐことを支援することです。
これにはいくつかのアプローチがあり、それらにはすべてメリットがあります。昔ながらのアプローチでは、セキュリティーチームが脆弱性を発見するために活用したツールを利用し、その後、脆弱性のリストを開発者に送信して修正してもらいました。
開発者に脆弱性を修正する力を与える
最近、状況は少し変化しました。より最近のアプローチは、自動化ツールがセキュリティーに代わってこの分析を実行し、開発者が結果を受け取って、問題を自分で修正できるようにすることです。これは簡単に聞こえますが、このプロセスをセットアップし、開発者に、ツールが生成する何百もの問題のどれを優先すべきかを教育することは、非常に困難な場合があります。
アプリケーションセキュリティープログラムを開発チームに展開した人なら誰でも、簡単に受け入れられる話ではないことに同意するでしょう。その結果として、一部の組織では対局にある別のアプローチを試すことにしました。そもそも問題がなければツールを使用する必要はありません。ツールを使用するにしても修正すべき発見事項が少なくなるはずです。
入力を無害化し、信頼できるコンポーネントを使用する
そもそもセキュリティーの問題が発生しないようにするには、ベストプラクティスについて人々を教育する必要があります。アプリケーションのセキュリティーに関して、私はこのアドバイスを次のように要約します。「入力をサニタイズする」と「信頼できるコンポーネントを使用する」です。アプリケーションのセキュリティー教育は素晴らしいように聞こえますが難しい問題です。これらのトレーニングはすべて、仮想の (場合によっては実際の) 教室で行われます。もしあなたが私のような人なら、仮想学習は魅力的な教育アプローチかもしれません。しかし、日々取得する知識を使用しない限り、次のステップに進むと簡単に忘れてしまいがちです。
どちらのアプローチにもメリットがあり、さまざまな課題が伴いますが、私の個人的なお気に入りは、物事を学ぶことです。ここで、私たちは何年にもわたって消費者ベースのテクノロジーで使用されてきたコンセプトを使用することに決めました。誰もがスペルチェッカーとその機能に精通しており、書かれたテキストを作成するときに、誰もがその赤い下線を避けたいと思っています。そのアプローチと同様に、 AppScan CodeSweepを作成しました。CodeSweepはVS Codeで動作する AppScan (完全無料) の最初のコミュニティエディションです。
「自分のコードは本当に危険か?」
CodeSweepの目的は単純です。コードを記述しているときに開発者が問題を見つけやすくし、問題を修正する方法がわかり、適切な質問を行い、最初の段階でセキュリティーの問題を回避できるようにすることです。私たちの目標は、新しいセキュリティー・スペシャリスト・ツールを作成することではありません。目標は、コードが本当に危険であるかどうかを直感的に訓練し、コードのどの要素がそうすることができるかを説明するツールを作成することでした。この質問に答えれば答えるほど、ツールに促されることなく、将来的に分析を実行できる可能性が高くなります。ここに短いデモがあります。
YouTube: HCL AppScan - Introducing HCL AppScan CodeSweep
この最終結果、優れたセキュリティープラクティスを学ぶことができます。長時間のクラスルームスタイルのレッスンを受講することや、コードで何かを見つけたときにセキュリティーによって指摘されるのを待つこともありません。
開発者としてあなたは何もこれまでと異なることを行う必要はありません。セキュリティーからの長いレポートも、仕事の流れを壊すトレーニングもありません。コードを記述して、自分の質問に答えるだけです。適切な質問をするタイミングを示すべく私たちは待機しています。
もっと詳しく知る
以上のことはしっかりしたアプローチのように聞こえましたでしょうか。実際に動かして学びたい、そして開発者としてのセキュリティーについてもっと学びたい場合は CodeSweep のページに行ってみてください。
Visual Studio Marketplace: HCL AppScan CodeSweep
私たちはユーザーやこのトピックに関心のある人と話すのが大好きです。コミュニケーションを取りたい場合はコミュニティーに参加することをお勧めします。
Slack: CodeSweep Community