シフトレフトセキュリティ:CIパイプラインに脆弱性検知を組み込む
なぜ今このテーマか
中〜上級エンジニア、技術リーダー、CTO/EMがCI/CDに脆弱性検知を組み込むためです。背景・現状の課題
SAST、DAST、SCA、IaCスキャンをCI/CDに組み込むことが必要です。具体的な例としては、データベースの潜在的な脆弱性や、不正アクセスからの攻撃防御があります。具体的なアプローチ・実装パターン
1. ツール選定:SonarQube、Snyk、WhiteSource Boltを比較して最適なツールを選択する。 2. CI/CDにツールを組み込む:GitHub ActionsやJenkinsでCI/CDパイプラインを構築し、脆弱性検知ツールをインテグレーションする。 3. 誤検知への向き合い方:ファルスポジィティの脆弱性に対処するために、トラストされていないソースコードや依存関係を排除する。実装上の落とし穴と対策
ファルスポジィティの脆弱性については、トラストされていないソースコードや依存関係を排除することで対処できます。
CI/CDパイプラインにより、継続的に脆弱性検知が行われるため、安定して運用できます。
