.NETアプリケーションにセキュリティを組み込む

dotTESTの最新リリース(10.4.1)では、開発組織が安全で信頼性の高い.NETアプリケーションを提供するのに役立つように大幅な機能強化が行われました。詳細は以下をごらんください。

最近発表されたSANS Instituteの報告書「2018 Secure DevOps: Fact or Fiction?」で論じられているように、多くの組織はプライバシーとアクセスに関する規約(GDPR、PCI、PIIなど)や連邦規制に縛られており、監督を義務付けられています。これらの制約のもと、DevSecOps戦略を成功させるには、自動化されたセキュリティテストを開発ワークフローに統合することが重要です。

問題が発生したらすぐに捕捉できるよう、継続的な脆弱性スキャンを継続的インテグレーションおよび継続的デリバリーの自動ビルド/デプロイメントパイプラインに組み込むことが可能です(そしてそうすべきです)。

– 2018 Secure DevOps: Fact or Fiction?

またこの報告書は、調査対象となった組織の50%以上が、既存のレガシーアプリケーションはリスク大であると見なしており、セキュリティ侵害の14%以上を占めていることを強調しています。

dotTESTの最新リリースは、今日のアプリケーションに内在するビジネスリスクの軽減を支援することに焦点を当てています。そのために静的解析機能を拡張し、OWASP、CWE、およびUL-2900のコンプライアンスレポートを提供する新しいセキュリティコンプライアンスパックを導入しました。

サポート対象セキュリティ標準の拡大

このリリースでは、最も重要な.NETセキュリティ標準に対するParasoftのサポートが拡張されました。OWASP Top 10を完全にサポートし、業界で最も広範なCWEのサポートを実現しています。この包括的なサポートにより、チームはセキュリティをソフトウェア品質プロセスに組み込むことができます。Visual Studio内で直接的に高度なコード解析を実行できるほか、コマンドラインインターフェイスやCIプラグイン(Jenkins、Bamboo、TeamCity、Azure DevOpsに対応)を介してCI / CDパイプラインの一部としても実行できます。

コンプライアンス証明用レポート機能

新しいルールとコンフィギュレーションに加えて、セキュリティコンプライアンスパックには、OWASPとCWEの両方に対応する新しいコンプライアンス レポートが含まれています。

  1. コンプライアンスの概要 – 各弱点に対するコンプライアンス状況の概要を示します。
  2. 弱点検出計画 – 静的解析違反を特定の弱点に割り当てるためのカスタマイズ可能なフレームワークを提供します。
  3. 逸脱レポート – 違反の例外(抑制)の監査に関する詳細なレポートを提供します。

OWASPのコンプライアンスレポートの例

コンプライアンスへの道を容易にするダッシュボードとワークフロー

セキュリティコンプライアンスパックには、組織がコンプライアンスを効率的に達成(および維持)するプロセスを合理化するのに役立つ、新しいOWASPおよびCWE固有のダッシュボードおよびウィジェットも導入されています。静的解析違反をOWASPのリスクスコアリングおよびCWEの技術的影響および開発概念にマッピングすることで、標準に照らしたリスクのレベルおよびリスクがある場所を正確に把握することができます。また、チームが最大限に効果的に作業できるよう、違反をナビゲートし優先順位を割り当てるための合理的なワークフローを提供します。

リスクごとのOWASPコンプライアンスおよび違反を示すウィジェット

開発概念および技術的影響によって分類されたCWEコンプライアンスおよび違反を示すウィジェット

まとめ

今日のエンタープライズシステムの多くは.NETプラットフォーム上に構築されているため、ビジネスを成功させるには、これらのアプリケーションが信頼性と安全性を備えていることが重要です。Parasoft dotTESTの最新リリースでは、.NETアプリケーションが確実に安全であると保証することを支援するのに不可欠な重要な機能が導入されました。

(この記事は、開発元Parasoft社 Blog 「Build Security Into Your .NET Application」2019年2月19日の翻訳記事です。)

Top