ひと目で

• SCA、SAST、およびコンテナスキャンを単一のプラットフォームに統合します
• 数週間で1人のエンジニアにより100のリポジトリに統合
• GitLab、GitHub、Azure DevOpsを横断して100人の開発者をサポートします
• F#、Rust、C++、C#、Python、React/Typescript向けに多言語対応のアプリケーションセキュリティ（AppSec）サポートを提供します
• マージリクエストワークフローを通じて早期の修正を可能にします
• Advances AutoStoreのセキュアなソフトウェア開発ライフサイクル（SSDLC）を実用的な知見で推進
• ブラックダックと エンドールラボに先駆けて選ばれたAikido
  

挑戦

オートストアのエンジニアリング組織は拡大・多様化し、世界中の複数の言語、コードベース、オフィスで活動する約100人の開発者を擁するに至った。一部のチームは強固なセキュリティ習慣を確立していたが、他のチームは一貫性のないプロセスやレガシーなワークフローに依存しており、セキュリティ対策のカバー範囲にばらつきが生じていた。同社がクラウドネイティブ開発を拡大するにつれ、こうしたギャップの管理は困難さを増していった。

エンジニアリングマネージャーと最高情報セキュリティ責任者（CISO）は、AutoStoreのセキュアソフトウェア開発ライフサイクル（SSDLC）を強化し、社内のセキュリティ対応方法に明確さと一貫性をもたらすことを目指した。

AutoStoreは、レガシーリポジトリとクラウドネイティブリポジトリ全体にわたる完全なアプリケーションセキュリティ可視性を提供し、多様な技術スタックをサポートし、GitHub、GitLab、Azure DevOpsと直接連携できるプラットフォームを必要としていた。

「もちろん、100人の開発者や10のチームが各自で作業を行う場合、優れた手法もあれば、あまり良くない手法も存在するでしょう」と、AutoStoreのセキュリティソフトウェアエンジニアであるヴェガード・サイレ・アーカーは述べた。

一方、従来C++システムを中心に構築されてきたオープンソースのリスク管理プロセスは、現代の開発環境をサポートするまでに拡張できなかった。

「私たちは、すべてのプログラミング言語に対応し、GitHubやGitLabなどのシステムと連携できるセキュリティツールを探していました。リポジトリの構成が非常に多様であるため、これは容易なことではありませんでした。Aikido 、私たちの必要とするすべてをサポートできる数Aikido 。」

開発者主導の選定

ベガードの開発者としての経験がAutoStoreの評価を形作った。チームが必要としていたのは、開発者が実際に使用し、既存のワークフローに摩擦なく統合できるアプリケーションセキュリティプラットフォームであった。

「開発者の力を引き出せるツールを探していました。実際に採用され、当社のプロセスにうまく統合できるものを探していたのです。」

この開発者第一の要件は、Aikidoのアプローチと強く一致していた。

ソリューション

AutoStoreAikido Endor Labs、Black Duck、オープンソースツールAikido 評価した。Aikido 直感的な操作性、多言語対応のアプリケーションセキュリティ支援、複数のセキュリティ機能を単一プラットフォームに統合する能力でAikido 。

「概念実証の段階では、シンプルで直感的なインターフェースが気に入りました。また、Aikido 、統合が容易だったこと、そして単一のダッシュボードで管理できる統合セキュリティスイートとして多くのセキュリティツールが含まれていたことです。」

Aikido 主要な言語をすべてAikido 、複雑なC++ライブラリ向けに直接統合とローカルスキャンを提供した。GitHubとAzure DevOpsはプロセス初期段階で円滑に統合されたが、GitLabの導入はプラットフォームのスケーラビリティを実証した：

GitLabの統合の大部分は、たった数週間で、ほとんど支援を受けずに一人のセキュリティエンジニアによって行われました。これには約100のリポジトリと100人の開発者が含まれていました。

Aikido迅速な支援と柔軟性が展開の速さに寄与した。

「統合と展開時のほとんどの問題は、Aikido迅速に解決されました。また、必要に応じてソフトウェアの変更を提供できる柔軟性を持っています。」

オートストアがAikidoを選んだ理由

AutoStoreがAikido を選んだAikido 以下の通りです：

• 主要なプログラミング言語をすべてサポートします。C++、Rust、F# を含む。
  
• GitHub、GitLab、Azure DevOpsと直接連携します
  
• SCA、SAST、およびコンテナスキャンを単一のプラットフォームに統合します
  
• 開発者中心のワークフローとマージリクエストの可視性を実現します
  
• ノイズを低減し優先順位付けを導く実用的な結果を提供する
  

結果

Aikido 、すべてのチームとリポジトリにわたる脆弱性の一貫したビューを提供します。

開発者とセキュリティエンジニアは、リスクや脆弱性に対する可視性が大幅に高まりました。これにより、アプリケーションのセキュリティが今後向上していくと確信しています。

AikidoワークフローAikido、問題を早期に発見し、開発者の関与を向上させるのに役立ちます。

マージリクエストへのコメントとして記載し、場合によってはブロックすることで、アプリケーションのセキュリティを長期的に向上させることができます。

Aikido AutoStoreAikido 新たに公表された脆弱性を迅速に検証することを可能にした。SOCプロバイダーが新たな依存関係の問題を指摘した際、Aikido 分析結果を用意していた。

合気道のブログ記事を確認したところ、その脆弱性を数日前から追跡されていたようですね。当社のコードベースが影響を受けていないか、すぐに確認できます。

オートストアがAikido活用を拡大している方法

すでに使用中

• SCA
• SAST
• コンテナイメージスキャン
• ライセンスリスク管理
  

養子縁組を計画中

• SBOM生成
  

次に評価する

• AIペネトレーションテスト
  
• DAST
  

「当社のアプリケーションの一つでAIペネトレーションテストを実施します。これにより外部ペネトレーションテストの一部を削減できる可能性があります。」

Aikido SSDLCにおいて最も実践可能な層Aikido

ヴェガードは、セキュア開発ライフサイクルにはリスク管理、脅威モデリング、ペネトレーションテストなど多くの要素が含まれると強調する。実践においては、Aikido フレームワークの中で最も実行可能な部分Aikido 。

組織の他のAikido 非常に集中していますAikido 実践的だからです。他のより曖昧なトピックと比べて、はるかに実践的だからです。

明確な手順、迅速な可視化、開発者中心のワークフローにより、チームは共同でセキュリティを強化できます。

もしもう一度やり直すなら、おそらくすぐにセキュリティツールを選んで、その上に構築していっただろう。

最終判決

Aikido 、エンジニアリングチームが脆弱性を効果的に管理できるよう支援する、焦点をAikido 。彼らは明らかに使いやすさを優先しており、これにより脆弱性管理がアクセスしやすく、実行可能なものとなっています。

‍