CoverityでDevSecOpsを実現：セキュア・コードの迅速なデリバリー

開発期間短縮への要求は今も昔も変わらず、そのため最近のSDLCにおいてもDevOpsがその中心的特性として確固たる地位を占めています。ソフトウェアの開発期間短縮への要求はソフトウェア開発の歴史の始まりから存在していますが、最近のソフトウェア・セキュリティの失態の数々を反映して、現在ではセキュアなソフトウェアの生産に対する要求が勢いを増しています。唯一の問題は、ソフトウェア・セキュリティ・プラクティスはとてつもなく時間がかかり、DevOpsの活動に沿わないという評判があるということです。

セキュアなソフトウェアの迅速な構築という課題

DevSecOpsはセキュアなソフトウェアの迅速な開発に対する要望に応えるものとして登場しました。DevSecOpsは継続的統合/継続的デリバリー（CI/CD）パイプラインへのセキュリティ・プロセスの統合を推進し、開発チームがSDLCの早期（ソフトウェアの作成時）にソフトウェアをスキャンできる環境を実現します。脆弱性をSDLCの早期段階で発見すればよりスピーディーかつ低コストに済みます。アプリケーション開発の完了後では、修正を適用するための作業のやり直しが大きいからです。

シノプシスのCoverityを一般的なIDE/CIツールと統合することにより、開発チームはアプリケーションにセキュア・コードを組み込むことが可能になります。開発およびセキュリティ・チームは、開発スピードへの影響なく、すべてのコードをスキャンしてCI/CDパイプラインのセキュリティ上の弱点と脆弱性を検出できます。解析から修正まで、Coverityは組織のDevSecOpsの実現を支援します。

解析の調整

Coverityでは、ニーズの変化に応じて解析の速度と深度を調整できます。開発チームは高速デスクトップ解析または差分解析を実行してアジャイル・ワークフローを維持管理したり、構築中に高度なスキャンを実行することができます。このような高度な制御により、DevOpsチームはセキュリティ・プロセスがソフトウェアの納期に支障をきたさないようにするために必要な柔軟性を得ることができます。

Coverityはアジャイル解析の機能を提供し、修正作業にかかる期間を短縮して脆弱性と弱点が手つかずで残ることを防止します。Coverity Connectはこれらの問題を開発担当者に自動的に割り当てて迅速な対応を可能にします。しかし、すべての問題を調査して真の問題を特定し、誤検知を排除する作業を開発チームに担わせるのは、アジャイルDevSecOpsプラクティスと矛盾します。このため、シノプシスではCoverityの精度向上に巨額の投資をして開発およびセキュリティ・チームにアクション可能な適格な結果をご提供できるようにしました。

DevSecOpsがアプリケーション・セキュリティのベストプラクティスになったことに伴い、組織にはより継続的、反復的なSDLCに対応するテクノロジーが必要になっています。アジャイル解析から自動修正まで、CoverityはSASTをCI/CDパイプラインにシームレスに統合することを目指す開発およびセキュリティ・チームを支援します。

CoverityによるDevSecOpsの支援に関する最近のホワイトペーパー
「CoverityによるDevSecOpsへのSASTの統合（英語版）」をご覧ください。