ソフトウェア・インテグリティ
コネクテッド・カーのセキュリティ向上にはリソースの増強が必要
2019年 2月 13日 (水)
2018年以降のクラウド・セキュリティの10大脅威
2018年 11月 8日 (木)
CoverityでDevSecOpsを実現:セキュア・コードの迅速なデリバリー
2018年 6月 25日 (月)
世界各地から多様な組織を代表する多くの専門家が集うGovWareは、現在のサイバーセキュリティの実践と、問題点を評価するために最適な場所になっている。シノプシスは、経営幹部クラスの重役25人、その他の種類の重役14人、中間管理職の専門家136人、およびその他の76人(メディア、教育などを含む)からなる251人の出席者を対象に、それぞれの組織のサイバーセキュリティについての調査を行った。
最近、アジャイル、CI/CD、DevOpsの3つの用語の使い方が混同されている例を多く見かけるようになりました。 プラクティス構築のための3種類の開発ツール 単一の工具で家を建てられないのと同様、単一のツールで開発プラクティスを実現することもできません。アジリティ、CI/CD、DevOpsの3つは独立したツールであり、それぞれ単独でも重要な機能を備えていますが、3つのツールのすべてを目的の用途に利用すれば、変革的な成果が得られます。そしてセキュリティの文脈では、これを実現して初めてDevSecOpsと呼ぶ権利を獲得したといえます。
多くの組織はソフトウェアの開発時に一般的な開発プロセスに従っていますが、一般的なプロセスでは通常セキュリティの欠陥を検証(テスト)フェーズで特定するため、開発プロセスではセキュアなソフトウェアの構築にほとんど対応していません。
社内には構築・デプロイされているアプリケーションが1つや2つ、あるいは10、さらには100はあるかもしれません。そして、これからそれらのアプリケーションを対象とした脅威モデルを構築しようとしています。それはなぜでしょう?
サードパーティーの製品やサービスは事業の運営に不可欠です。組織はコスト削減によるソリューションの最適化に依存するところが大きく、そのために外部エキスパートが必要になります。サードパーティーの組織は製品・サービスの迅速なデリバリ、コンプライアンス要件の遵守、組織の全体的な業績向上を約束します。
職人が傑作を生み出すには、適切なスキルとツールを併せて活用する必要があります。ツールは最高の作品を作るプロセスにおいて重要な補助手段となりますが、このプロセスには職人の適切な経験と専門知識も必要です。職人の道具箱と同様に、ペネトレーション・テスト担当者のツールボックスには業務目標に応じて使用するさまざまなペネトレーション・テスト・ツールがあります。
一般に、Webアプリケーションのアーキテクチャは通常Webブラウザ上で行われる基本的なレンダリングとクライアントへの情報の返却に対応します。その裏側で、Webアプリケーションはさまざまな異なる階層を利用します。その中にはプレゼンテーション、業務、データに使用するサーバーが含まれる場合があります。ニーズに応じてアーキテクチャの種類やアーキテクチャを構成する階層方式はさまざまです。
成功するプロジェクトは管理が優れています。プロジェクトを効率的に管理するには、管理者や開発チームはさまざまなソフトウェア開発手法を検討して、着手するプロジェクトに最適な手法を選択する必要があります。すべての手法にはそれぞれ異なる長所と短所があり、存在する理由も異なります。以下では、最も一般的に用いられているソフトウェア開発手法およびさまざまな手法が存在する理由について概要を説明します。
情報セキュリティ産業の誕生以来、バッファ・オーバーフローは常に注目を集め続けてきました。1980年代後半、ロバート・T・モリス氏がUNIXのfingerdプログラムを利用して、たった2日でインターネットに接続している機器の10%に感染するワームを作成しました。この一件でサイバーセキュリティがコンピューター・サイエンス史上初めて見出しのトップを飾り、以後たびたびメディアで大きく取り上げられるようになりました。
ソフトウェアのバグをなくし、信頼性を高めるには、ソフトウェア開発ライフサイクル(SDLC)の明確な定義が不可欠です。シノプシスでは、手間とコストを削減するにはSDLCの早期でのバグ修正が重要であることを折に触れてお伝えしています。では、実際に、SDLCの工程によってバグ修正コストはどの程度異なるのでしょうか。この投稿では、ソフトウェアライフサイクルの各段階で発生し得るバグ修正コストに焦点を当ててこの問題を検討していきます。