脆弱性について知ることは戦いの半分に過ぎません
継続的な IT への取り組みを続ける中で、セキュリティに重点が置かれています。 そして、そうあるべきです。 違反は多発しています。 脆弱性は毎日発見されており、パッチのギャップは小さくなる気配がありません。
より安全なコードのためによく提案される解決策の 1 つは、ソース コードをスキャンすることです。 静的および動的セキュリティ スキャンは、継続的デリバリー プロセスの主要な要素となっています。 これらは当社の内部パイプラインに含まれており、いつでもダッシュボードを覗いて、スキャンで何が見つかったかを確認できます。
 |
しかし、G.I.ジョーが私たちに思い出させてくれるように、ソースコードに脆弱性が存在することを知ることは戦いの半分にしか過ぎません。 残りの半分が本当に青と赤のレーザーであれば興味深いのですが、アプリケーション セキュリティの現実は、残りの半分が「それらの脆弱性に対処する」ことです。 残念なことに、その現実が現実になることはないようです。 Tripwire のレポート ( 2019 State of Container Security ) を覚えているかもしれません。このレポートでは、回答者の 17% が脆弱なコンテナがあることを認め、それが何であるかを知っていたにもかかわらず、とにかくそれらをデプロイしていました。 また、モバイルおよび IoT アプリケーションのセキュリティに関する 2017 年の Arxan/IBM レポートでは、回答者の 53% がモバイル アプリに対して静的セキュリティ テストを使用し、51% が動的セキュリティ テストを使用していることが判明しました。 また、侵害に関する重大な懸念にもかかわらず、ほぼ半数(44%)が侵害を防止するための措置を講じていません。 |
既知の脆弱性についてテストを行わず、何も行わないという問題は、ほとんどの場合、価値実現までの時間を短縮するというプレッシャーと結びついています。 開発者のほぼ半数 (48%) が、セキュリティに費やす時間が十分ではないと回答しています ( 2018 DevSecOps コミュニティ調査)。 他の調査でも一致しているが、開発者にはコードをより速く、より頻繁に作成するという途方もないプレッシャーがかかっている。 データパスでも配信パスでも、速度が制限されるとセキュリティが依然として「犠牲になるもの」であることが判明しました。
人々は、自分たちが評価されるものに向かって努力するということはよく知られています。 開発者も人間なので、彼らもそのルールに従う必要があります。 迅速に市場に参入することが評価されるなら、たとえセキュリティを危険にさらすステップを省略することになったとしても、それに向けて取り組むでしょう。 安全なアプリケーションを市場に提供するには、迅速に市場に投入することと同じくらい、安全に市場に投入することを評価および評価する文化的変化を受け入れる必要があります。
それが実現するまでは、脆弱性に対処するために赤色レーザーと青色レーザーに頼るのは、開発者に頼るのと同じくらい安全です。