「DevSecOps」を開発者にとってフレンドリーなものに向上させる5つの方法 GitHub：開発者の負担を減らすことも重要

GitHubは、DevSecOpsを開発者にとってフレンドリーなものに向上させる5つのヒントを公式ブログで解説した。

[＠IT]

　GitHubは2024年1月5日（米国時間）、「DevSecOps」を開発者にとってフレンドリーなものに向上させる5つのヒントを公式ブログで解説した。

　DevSecOpsに取り組むことは、リスクの最小化、修復コストの削減、より迅速でセキュアな製品リリースなど多くのメリットがある。しかし、開発者の視点から見ると、断片的なツールの統合などにより、ソフトウェア開発ライフサイクル（SDLC）がより複雑になり、さらなる負担になることも多い。さまざまな種類のセキュリティアラートを理解し、優先順位を付け、解決するために、開発が遅れることもある。

　GitHubは「開発者の負担にならないようにDevSecOpsを改善することは、安全で迅速な製品のリリースに不可欠だ」とし、5つのヒントを解説した。

DevSecOpsの取り組みを改善する5つのヒント

1.セキュリティの意思決定に開発者を参加させる

　セキュリティプロセスの構築やポリシーの決定に開発者が関与すればするほど、エンジニアリングチームとセキュリティチームのコラボレーションがスムーズになる。新しいツールを購入したりポリシーを変更したりする前に、開発者と話し合い、フィードバックを求める必要がある。

2.セキュリティ機能を開発者環境に適合させる

　多くのセキュリティツールは、セキュリティスペシャリストのために構築されており、開発者のワークフローに組み込むと摩擦を生む可能性がある。従って、セキュリティツールをSDLCに統合する場合、セキュリティツールから必要なデータを抽出し、開発者のワークフローにネイティブに統合する方が効果的だ。さらにいいのは、開発者のワークフローにデータを直接組み込めるセキュリティツールを使うことだ。これにより、開発者による脆弱（ぜいじゃく）性の早期発見、修正につながるだろう。

3.効果的なアラートシステムでセキュリティツールへの信頼性を向上させる

　開発プロセスにセキュリティを導入すると、アラートへの対応が開発者のワークフローの一部として組み込まれる。しかし、アラートの多くは偽陽性である可能性が高く、対処する価値があるのは一部だけだ。セキュリティツールが偽陽性のアラートを発し続けると、開発者はツールに対する信頼を失う。その結果、開発者が重要なアラートを読み飛ばしてしまうことになりかねない。

　効果的なセキュリティアラートシステムに、リスクの高い脆弱性に対処するプロセスを組み合わせることで、開発者がリスクの高いアラートに優先順位を付け、組織のセキュリティ債務（時間の経過とともに蓄積され、その結果、修正するのが困難でコストが高くなる脆弱性）を一掃するのに役立つ。

4.AIと自動化の活用

　限られたリソース、急速な脅威の進化、ノイズの多い偽陽性のアラート、システムの複雑化により、緊急性の高い脆弱性を把握し続けることは困難だ。しかし、AI（人工知能）と自動化は、誤検知を減らし、開発者による一貫したセキュリティチェックの実施、対策に役立つ。

　さらにAIは、幅広いオープンソースのフレームワークやライブラリのモデリングを強化する可能性を秘めている。AIによりフレームワークが正確にモデリングされる割合が増えるにつれて、これらのシステム内のデータフローをよりよく理解できるため、偽陰性のアラートを減らす可能性も高くなる。AIによるモデリングを加速させることで、より多くの脆弱性を検出できるだろう。

5.セキュアなコーディングに関する要望を明確にする

　組織は新しいツールや製品のマニュアルを作成するために、ベンダーと協働すべきだ。そして、エンジニアリングチーム全体にこれらの要望を伝えるために、セキュリティリーダーを選ぶ必要がある。

　セキュアコーディングの実践に関する要望を明確にすることで、曖昧さをなくし、開発者のセキュリティ意識を高めることができるだろう。要望を明確に伝えることができるリーダーを選定することで、望ましい行動をモデル化し、組織全体のDevSecOpsを推進できる。その結果、セキュアなコーディングが開発者に理解され、一貫して実装される可能性が高まるだろう。