.png)
測定できないものは改善できません。しかし正直なところ、ほとんどのセキュリティメトリクスは無意味です。見た目はきれいでも何も語らない円グラフ。コンテキストなしに「重大な発見」を追跡するダッシュボード。役員を感心させるためであって、開発者を助けるためではないレポート。適切なセキュリティメトリクスは、チームがより速くかつ安全にリリースするのに役立つはずです。このセクションでは、余分なものを排除し、コードのクリーンさ、問題修正の速さ、ツールが役立っているか、あるいは単に無駄な警告を発しているだけかなど、真の改善を促進する数値に焦点を当てます。
プレースホルダー画像: 画像の説明: 開発者向けダッシュボード。脆弱性密度トレンド、スキャンカバレッジ率、誤検知率、MTTR棒グラフの4つのウィジェットがあり、それぞれコードリポジトリまたはパイプラインにリンクされています。
脆弱性密度:コードは本当にクリーンですか?
脆弱性密度は、コード千行(KLOC)あたりに、どれだけの実際の、エクスプロイト可能なセキュリティ問題が存在するかを追跡します。これは「バグの数」以上の情報を提供し、コードベースが時間とともにどれほどリスクが高まっているかを示します。チームが2倍のコードを出荷しているのに脆弱性が横ばいであれば、それは進歩です。これを活用して、ホットスポットを特定し、チームを比較し、最も必要な場所でレビューを優先します。
スキャンカバレッジ:適切な場所をすべてスキャンできていますか?
1つのリポジトリしかスキャンしていない場合や、IaCをスキップしている場合、盲目的に運用している状態です。スキャンカバレッジは、コード、コンテナ、シークレット、依存関係、インフラなど、スタックの何パーセントが実際にチェックされているかを示します。Aikidoは、ツール間のカバレッジを1か所で表示することで、これを容易にします。「あのTerraformファイルはスキャンしただろうか?」と疑問に思うことはもうありません。把握できます。
フォールス・ポジティブ率:あなたのツールはオオカミ少年になっていませんか?
アラート疲れは導入を妨げます。開発者が結果を信頼しなければ、確認しなくなります。「問題なし」としてクローズされた検出結果の数を追跡し、パターンを探してください。「クリティカル」なアラートの70%が誤検知であれば、スキャナーは役に立つどころか、害になります。Aikidoは、エクスプロイト可能で、到達可能で、コードに関連するもののみを表示することで、この問題を解決します。
平均修復時間 (MTTR) 再考:プロセスの究極のテスト
MTTRは単なるセキュリティ指標ではなく、プロセス指標です。実際の脆弱性を検出からパッチ適用まで修正するのに、チームはどれくらいの時間を要しますか?MTTRが長いということは、摩擦があることを意味します。MTTRが短いということは、パイプラインが機能していることを意味します。リポジトリ、チーム、または深刻度ごとに追跡してください。MTTRが低下したら喜び、急増したらブロッカーを修正してください。MTTRは、大規模なセキュア開発の生命線です。
インサイト:適切なメトリクスは、監査に合格するだけでなく、チームがより良いコードをより速く、予期せぬ問題なくリリースするのに役立ちます。神話的な「完璧な」セキュリティ体制を追い求めることなく、改善を続ける方法で締めくくりましょう。
