Forrester Report: アプリケーションセキュリティの現状、2020年
外部からの攻撃方法として最もよく使われるの は、依然としてアプリケーションの弱点とソフトウェアの脆弱性です。アプリケーションがより複雑になり、内製およびサードパーティのコンポーネントに依存し、新しいフレームワークをサポートするように進化に合わせて、セキュリティチームも常に追いつく必要があります。攻撃者は確かにそうしています。
Forresterは、4,000人近くのセキュリティ専門家の調査より構成されたこの貴重なレポートで、組織の全体的なセキュリティ戦略の中でアプリケーションが最も脆弱なポイントになる3つの重要な要因を特定しています。
- 依然として影響力の大きいオープンソース
- アプリケーションの形が変わっても攻撃者はそれに適応する
- 歩みを止めない開発者 — セキュリティにも進化が必要
明らかに、今はアプリケーションセキュリティの取り組みを縮小するのは賢明とは言えません。むしろ、ソフトウェア開発の初期段階でセキュリティテストを実施し、自動修復機能を導入して本番環境のセキュリティを強化することがこれまで以上に重要になっています。
レポートをダウンロード
開発者のニーズに応えるために、セキュリティ担当者はCI/CDパイプラインにアプリケーション・セキュリティ・テスト・ツールを統合し、チェックイン、ビルド、統合のタイミングでスキャンを自動的に実行できるようにしながら、自動修復機能を実現してセキュリティの問題をスピーディかつ簡単に軽減する必要があります。」
アプリケーションセキュリティの現状、2020年
|SANDY CARIELLI, 5月 4日, 2020
Jonathan Knudsen
SYNOPSYS、シニアセキュリティストラテジスト
シノプシスの視点
レポートが指摘しているように、アプリケーションはより複雑になっています。アプリケーションには、より多くのコード、より多くの言語、より多くのプラットフォーム、およびより多くの展開オプションが含まれています。この複雑さは、より多くのセキュリティリスクを意味します。うまくいかない場所や事柄はもっとたくさんあります。そして、速度が速いほど、物事を正しく行うための時間が短くなります。
最近のブログ投稿で書いたように、組織が答える必要のある大きな質問は、「リスク削減に関する現場の観点から、セキュリティに全体的にアプローチするための最良の方法は何ですか?」です。
明確な答えは自動化です。
このレポートは、組織がソフトウェア・コンポジション解析(SCA)とコンテナ・セキュリティ、静的アプリケーション・セキュリティ・テスト(SAST)、さらにはインタラクティブ・アプリケーション・セキュリティ・テスト(IAST)をソフトウェア開発ライフサイクル(SDLC)の開発フェーズに移行する方法を特定します。このように自動化を使用すると、摩擦を減らしてリスクに対処し、リリースのタイムラインと目標をより適切に満たすことができます。
さらに、コードが変更されるたびにフルスキャンを実行する代わりに、組織はコンテキストに基づいてインテリジェントなテスト実行を使用して、何を実行するか、いつ実行するか、どのように実行するかを決定できます。
このアプローチにより、チームはツールチェーン・チームによる構成が制限され、ポリシーを1か所で簡単に調整できる柔軟性を備えた各アプリケーションを最適な方法で処理できるようになります。
