SYSTEM-8-1
クライテリア
CI/CDのパイプラインにソースコードの自動的なセキュリティチェック(静的解析または動的解析)が組み込まれていて、一定の基準を達さないとリリースされない仕組みになっているか。
タイプ
セキュリティシフトレフト
観点
メトリクスの計測
FAQ
Q.自動的なセキュリティチェックは、静的解析か動的解析のどちらか一方が組み込まれていれば「YES」として問題ありませんか?
基本的には、静的解析ツールが組み込まれていることを想定していますが、動的解析でもセキュリティレベルを担保できているのであれば、「YES」として問題ありません。
用語解説
セキュリティ静的解析ツール
JavaであればSpotBugs、Goであればgosec、Pythonであればbanditといったセキュリティ静的解析ツールがよく使われます。言語ごとに対応しているツールも異なるため、詳しくは参考資料のgitlabのページをご参照ください。
セキュリティ動的解析ツール
オープンソースの動的な脆弱性診断ツールとしては、OWASP ZAPが有名です。