SYSTEM-8-1

クライテリア

CI/CDのパイプラインにソースコードの自動的なセキュリティチェック(静的解析または動的解析)が組み込まれていて、一定の基準を達さないとリリースされない仕組みになっているか。

タイプ

セキュリティシフトレフト

観点

メトリクスの計測

FAQ

Q.自動的なセキュリティチェックは、静的解析か動的解析のどちらか一方が組み込まれていれば「YES」として問題ありませんか?

基本的には、静的解析ツールが組み込まれていることを想定していますが、動的解析でもセキュリティレベルを担保できているのであれば、「YES」として問題ありません。

用語解説

セキュリティ静的解析ツール

JavaであればSpotBugs、Goであればgosec、Pythonであればbanditといったセキュリティ静的解析ツールがよく使われます。言語ごとに対応しているツールも異なるため、詳しくは参考資料のgitlabのページをご参照ください。

セキュリティ動的解析ツール

オープンソースの動的な脆弱性診断ツールとしては、OWASP ZAPが有名です。

参考資料