Blog

SCW Trust Agent-開発者主導型セキュリティを拡大するための可視性と制御

July 23, 2024
カイル・リオーダン

セキュリティ・バイ・デザインの原則は、開発者主導のセキュリティによってのみ成功裏に実装されることを組織は理解しています。結局のところ、組織のソフトウェアを強化するコードを設計、構築、最終的にコミットするのは開発者です。これらの貴重な貢献者に、安全なコードのベストプラクティスを実装するための知識とスキルを持たせることは絶対に重要です。しかし、この目標を達成するための課題は、開発者のセキュア・コーディングに関する知識とスキルを、実際にソフトウェアを構築する際に使用するプログラミング言語と一致させることにあります。最も成熟した組織であっても簡単な作業ではありません。

この課題は、組織のコードベースで使用されているプログラミング言語の量が膨大で混在しているため、セキュリティチームにはまったく知られていないことが多いため、さらに複雑になっています。では、CISO、アプリケーションセック、エンジニアリングのリーダーは、作成およびコミットされるコードが、そのコミット固有のプログラミング言語に関する開発者の安全なコード知識とスキルに裏付けられていることをどのように確認すればよいのでしょうか。

SCW トラストエージェントの紹介

セキュア・コード・ウォリアーは、この難しい質問に答えるために SCW トラストエージェントを立ち上げました。SCW Trust Agent は、開発者が主導するセキュリティを拡大するために必要な可視性と制御をセキュリティリーダーに提供します。これにより、開発者とチームは、コミットされた内容のセキュリティを維持および改善しながら、コードをより迅速に提供できるようになります。

SCW トラストエージェントの仕組み

SCW Trust Agent はコードリポジトリを検出して接続し、すべてのコードコミットに含まれるメタデータを評価します。コミットを行った開発者、使用された言語またはフレームワーク、およびコードがコミットされた正確なタイムスタンプを検査します。次に、この分析を、業界をリードする SCW のラーニングプラットフォームのデータや洞察と組み合わせて、開発者がその特定のプログラミング言語に関する十分なセキュリティ知識を持っているかどうかを判断します。この情報に基づいて、組織が設定したポリシーに基づいて、そのコミットの正常性を評価します。これらのポリシーはカスタマイズや設定が可能なため、開発者がセキュアコードに関する知識を持っているかどうかは、そのプロジェクトやリポジトリの全体的な機密性に基づいて、チームがコミットに関する具体的なガイドラインや要件を設定することができます。

次のレベルのガバナンスとコントロール

この強力な可視性に基づいて、Trust Agent は柔軟なポリシーゲーティング機能を通じて大規模な統合ガバナンスを提供します。この革新的な機能により、組織やチームはセキュアコーディング標準をコミットレベルで直接積極的に適用し、維持することができます。開発者がセキュアコーディングのスキルが組織の事前定義された要件を満たさない言語またはフレームワークでコードをコミットしようとした場合、Trust Agent は設定可能なアクションを自動的にトリガーできます。つまり、イベントをレビュー用に記録したり、直接警告を発したり、プルリクエストを完全にブロックしたりすることもできます。

これらの適応性の高いポリシーゲートは、任意の Git ベースのリポジトリに適用できるため、特にビジネスクリティカルなアプリケーションや、要件6.2.2で言語固有のセキュリティトレーニングを規定するPCI-DSS 4.0など、コンプライアンス要件が厳しいアプリケーションにとって重要な制御ポイントとなります。Trust Agentは、組織のリスク選好度に基づいてコミットの信頼レベルを正確に定義することで、検証済みの安全なコーディングスキルを持つ開発者からのコードのみが最も重要なリポジトリに入るようにし、セキュリティ体制を根本的に強化します。

開発ライフサイクルの最適化

SCW Trust Agent によって可能になるこのプロアクティブなアプローチは、組織の全体的なセキュリティ体制を改善するだけでなく、開発ライフサイクルの最適化にもつながります。開発者が自分のコミットした言語で安全なコード知識とスキルを身に付けられるようにすることで、導入された脆弱性のうち、後で特定して修正する必要のある脆弱性の数を大幅に減らすことができます。修正とやり直しは開発者にとって大きな時間の浪費になりがちで、ワークフローを中断し、作業速度にも影響します。プロアクティブなアプローチによって脆弱性を減らすことで、これらの修復サイクルを最小限に抑えることで、開発チームは価値の高い機能の提供に集中できます。

開発者主導型セキュリティのスケーリング

SCW Trust Agent は、開発者が主導するセキュリティプログラムを拡張するために必要なツールを組織に提供します。CISOとアプリケーションセキュリティチームは、ポリシーの設計、適用、遵守に関する詳細な洞察を得て、適切なガバナンスを適用し、コンプライアンス基準を満たし、さらにはそれを上回るために必要な可視性と制御を得ることができます。また、開発者は、提供するコードで使用している言語に特化したセキュア・コード・トレーニングを受けることで、安全なコードをより迅速に提供できるようになります。

SCW Trust Agent はあらゆる Git ベースのソースコード管理ツールと連携し、オンプレミス、クラウドベース、手動アップロードなどの複数の接続オプションを使用してコードリポジトリを簡単に接続できます。詳細については、以下をご覧ください。 www.scwtrustagent.com またはお問い合わせください。お客様の組織のセキュリティ体制を強化し、開発者主導のセキュリティを拡大するために私たちがどのように支援できるかについて、ぜひご相談ください。

編集者注:この投稿は元々によって公開されました カイル・リオーダン そして2024年7月23日に公開されました。以下により新しい情報や研究が加わりました。 アンドリュージョンソン、セキュア・コード・ウォリアーのシニア・プロダクト・マーケティング・マネージャー。

キャッチフレーズ

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
キャッチフレーズ

Explore more blogs

これは、オーラが射手と鼻の穴を広げることによって、腸管を熱的に発芽させ、臭いを帯びていることを防ぐためのものです。

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo