.png)
正直なところ、チェックリスト、プレイブック、ポリシーは、目がうつろになるまで読める量には限りがあります。そこで、このガイドは、すべての開発ブログがそうあるべきであるように締めくくります。皮肉を交えつつも、無駄のないFAQで。チームが企業のハンドブックのような堅苦しさなしに安全な開発を実現しようとするときに抱く、本当の疑問に対する率直な回答を提供します。
プレースホルダー画像: 画像説明: ホワイトボードに貼られた、一般的な開発者のセキュリティに関する質問が書かれた付箋。一部は消され、一部は皮肉な注釈で強調されている。
セキュリティが開発者の作業を遅らせるだけではないと、どのように説得できますか?
本番環境で問題が発生した際の午前2時の緊急対応から解放されること、PRをより安全にし(リバート地獄のリスクを減らし)、そして、10回ものセキュリティ質問票なしで、魅力的なエンタープライズ契約を獲得するのに役立つことを伝えてください。さらに、書類作業が減り、スーツを着た人々との会議も少なくなります。双方にとってメリットがあります。
どのチームにとっても、最初に始めるべき絶対不可欠なセキュアコーディングルールは何ですか?
- ユーザー入力を(決して)信頼しないでください。
- 仕事がかかっているかのように出力をエンコードしてください(実際にかかっている可能性があるため)。
- シークレットを漏洩させないでください(AWSの請求書が感謝するでしょう)。
この3つを確実に実行すれば、あなたはすでにインターネットの半分よりも安全です。
私たちのチームは小規模で、専任のセキュリティ担当者がいません。どのようにすれば現実的にSSDLCを導入できますか?
無料のものから始めましょう。プリコミットでGitLeaks、PRでSemgrep、CIでTrivyを導入します。週に1時間、開発者の一人を「セキュリティチャンピオン」に任命しましょう。自動化できるものは自動化し、できないものは委任します。フォートノックスを構築しているわけではありません。ただ、家に鍵がかかっていることを確認するだけです。
SSDLCとその関連ツールの導入には通常どのくらいの費用がかかりますか?
「数枚のピザと金曜日のハッカソン」から「CEOのボーナス以上」まで。しかし真剣に言えば、リーンに始めましょう。オープンソースツールは素晴らしいです。Aikidoの無料ティアは迅速な開始を支援します。そしてROIは?バグの削減、デプロイの高速化、トリアージ時間の短縮です。
スタートアップや中小企業にとって最適なSSDLCフレームワーク(SAMM、SSDFなど)は何ですか?
頭を抱えたくならないものを選びましょう。NIST SSDFは堅実で実用的な出発点です。より構造を求めるならOWASP SAMMが非常に有効です。あるいは、両方から良い部分を拝借して、「Our Awesome Secure Way of Doing Things™」と呼んでも構いません。それで問題ありません。
セキュリティツールによるアラート疲れに効果的に対処するにはどうすればよいですか?
すべてのセミコロンを脅威と見なすツールの使用をやめましょう。厳しく優先順位を付けましょう。実際にエクスプロイト可能なものに焦点を当てましょう。CVE IDや赤い三角形だけでなく、コンテキストを示すツールを使用しましょう。(ヒント:Aikidoは、到達可能で、修正可能で、本番環境にあるものを優先することで、まさにこれを実現します。)
インサイト:安全なソフトウェアを構築するためにサイバー分野の博士号は必要ありません。適切な考え方、適切なツール、そして誰かが「リスク」と言うたびにうんざりしないチームがあれば十分です。
