シフトレフトセキュリティとは?
シフトレフトセキュリティは、シフトレフトの哲学をセキュリティに適用し、セキュリティチェックと考慮事項を最後に付け足すのではなく、開発プロセスの早い段階に組み込みます。
従来、セキュリティレビューは遅く - リリース近くのゲートで、別のチームによって実行されて - 行われていました。シフトレフトセキュリティは、それらの懸念を開発者の日常のワークフローに移動させ、脆弱性がリリース直前や後に発見されるのではなく、コードが書かれるときに捉えられるようにします。
古いモデルとその問題
セキュリティが後段のゲートであるとき、脆弱性はリリース近くで高価に見つかり、セキュリティチームと delivery チームの間に土壇場の摩擦を生みます。その時点での修正は急いで行われ、コストがかかり、最終的なセキュリティ承認の敵対的な力学が全員を遅くします。
セキュリティを左にシフトするとはどういうことか
シフトレフトセキュリティは、セキュリティを pipeline とエディタに統合します。開発者はコードを書くときと変更ごとに脆弱性について速いフィードバックを得て、セキュリティの発見を他のテスト失敗のように - 数週間後に持ち出される驚きではなく、今、文脈の中で修正すべきものとして - 扱います。
何が早期にチェックされるか
- 安全でないコードパターンのための静的解析(SAST)。
- 脆弱なライブラリのための依存関係およびソフトウェア構成スキャン。
- コミットされた認証情報を捉える secret 検知。
- 設定ミスのための Infrastructure-as-code スキャン。
速く、ノイズの少ないフィードバック
すべてのシフトレフトと同様に、スピードとシグナル品質が重要です。セキュリティスキャンは CI で素早く実行され、正確で実行可能な結果を生み出さなければなりません。遅いスキャナーや、開発者を false positive で溢れさせるスキャナーは無視されるか無効化され、早期に移動させる目的を台無しにします。
DevSecOps の一部
シフトレフトセキュリティは、より広い DevSecOps ムーブメントの中の中核的な実践であり、セキュリティを delivery ライフサイクル全体にわたる共有責任にします。チェックを左にシフトすることは、その哲学がポリシー文書の中だけに存在する原則ではなく、日々の pipeline の中で具体的になる方法です。
重要なポイント
- シフトレフトセキュリティは、開発者のワークフロー内で早期にセキュリティチェックを組み込みます。
- 遅いリリースゲートではなく、コードが書かれるときに脆弱性を捉えます。
- 速く正確なスキャンに依存し、DevSecOps の中心です。