SYSTEM-8-1

2021/1/29 13:472021/3/24 7:57

クライテリア

CI/CDのパイプラインにソースコードの自動的なセキュリティチェック（静的解析または動的解析）が組み込まれていて、一定の基準を達さないとリリースされない仕組みになっているか。

タイプ

セキュリティシフトレフト

観点

メトリクスの計測

FAQ

Q.自動的なセキュリティチェックは、静的解析か動的解析のどちらか一方が組み込まれていれば「YES」として問題ありませんか？

基本的には、静的解析ツールが組み込まれていることを想定していますが、動的解析でもセキュリティレベルを担保できているのであれば、「YES」として問題ありません。

用語解説

セキュリティ静的解析ツール

JavaであればSpotBugs、Goであればgosec、Pythonであればbanditといったセキュリティ静的解析ツールがよく使われます。言語ごとに対応しているツールも異なるため、詳しくは参考資料のgitlabのページをご参照ください。

セキュリティ動的解析ツール

オープンソースの動的な脆弱性診断ツールとしては、OWASP ZAPが有名です。

参考資料

Static Application Security Testing (SAST)

If you're using GitLab CI/CD, you can analyze your source code for known vulnerabilities using Static Application Security Testing (SAST). GitLab checks the SAST report and compares the found vulnerabilities between the source and target branches. Details of the vulnerabilities found are included in the merge request.

https://docs.gitlab.com/ee/user/application_security/sast/

Web脆弱性診断ツール「OWASP ZAP」とは | 脆弱性 | CyberSecurityTIMES

自社で開発したWebアプリケーションが、セキュリティ対策ができているかご存知ですか。もし自社のWebアプリケーションに脆弱性が存在していると、簡単にWebサイトが改ざんされてしまったり、ダウンしてしまったり、個人情報が漏えいしてしまうことすらあります。 ...

https://www.shadan-kun.com/blog/vulnerability/2961/