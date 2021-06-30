アジリティとリスクのバランス

DevSecOpsの方法論に従っている場合など、最近のソフトウェア開発環境では、組織の全員がセキュリティに責任を負います。ソフトウェア開発ライフサイクル（SDLC）の各段階で何らかの形のセキュリティを組み込む必要があります。これにより、開発チームはアプリケーションのセキュリティとコンプライアンスの問題に対する第一の防衛線となります。

それにもかかわらず、開発チームは無意識のうちに会社のリスク軽減ポリシーに違反するコードを作成・マージしがちです。しかも、通常は最後の段階になるまで問題点に気付かないため、厳しい納期での修正を余儀なくされます。この問題に対処するには、SDLCのできるだけ早い段階でポリシー違反を開発チームに通知する必要があります。

各マージがこの要件を満たせるようになったら、すべてのソフトウェア・コンポーネントのすべてのビルドをSCAツールでフルスキャンします。Black Duckのフルスキャンには、依存関係、コード出力、スニペット、バイナリ解析の任意の組み合わせを含めることができます。この機能によってすべてのオープンソース・コンポーネントを確実に特定し、包括的なBOMを構築し、ポリシー違反にフラグを立てる処理が行われるので、アプリケーションをリリースする前に実行することをぜひおすすめしますが、場合によっては、状況により適した別の方法、つまり、現在のジョブを完了するために十分な情報を提供する方法があるはずです。

Black Duckの高速スキャン機能は、開発チームが必要とするアジリティとオープンソース・リスク管理とのバランスを取ります。これにより、開発チームは、コードをリリースブランチに昇格させる前に、システムに含まれているオープンソース・コードを他の開発・運用タスクと同じ速度と規模で、企業のポリシーに基いて評価することができます。