SSDLCの各段階で安全なコーディングスキルを身につける
SSDLCの各段階で安全なコーディングスキルを身につける
新しいGitHub Actionにより、業界標準のSARIFファイルに開発者中心のトレーニングを追加し、GitHubのコードスキャンワークフローに直接追加することができます。
9月30日、GitHubは「GitHubコードスキャン」の一般提供を正式に発表しました。GitHubコードスキャンは、開発者を優先し、GitHubネイティブなアプローチで、セキュリティ上の脆弱性が本番環境に到達する前に簡単に発見することができます。
コードスキャンは、GitHub Actionsや既存のCI/CD環境と統合することで、開発チームの柔軟性を最大限に高めます。コードが作成されると同時にコードをスキャンし、プルリクエスト内で実行可能なセキュリティレビューを表示し、GitHubのワークフローの一部としてセキュリティを自動化します。
開発者のためのセキュリティへのシームレスなアプローチ。
オープンなSARIF(Static Analysis Results Interchange Format)標準をベースに構築されたコードスキャンは、増え続ける組織のニーズに合わせて設計されており、オープンソースや商用の静的アプリケーションセキュリティテスト(SAST)ソリューションなどを同じGitHubネイティブ体験内に含めることができます。
サードパーティのコードスキャンツールは、プルリクエストなどのGitHub内のイベントに基づいて、GitHubアクションまたはGitHubアプリで起動することができます。結果はSARIFとしてフォーマットされ、GitHub Security Alertsタブにアップロードされます。アラートはツールごとに集約され、GitHubは重複するアラートを追跡して抑制することができる。これにより、開発者はGitHub上のすべてのプロジェクトで好きなツールを使うことができ、すべてGitHubのネイティブなエクスペリエンスで利用できるようになる。簡単に言うと、これは従来のセキュリティに対するいくつかのアプローチの混乱を断ち切り、開発者のワークフローを尊重するものである。
昨日、Secure Code Warrior は、GitHubのブログ記事「Third-Party Code Scanning Tools」の中で、唯一の開発者中心のトレーニングプロバイダーとして紹介されました。Static Analysis & Developer Security Training」で、Synk、Checkmarx、Fortify On Demand、Synopsis、Veracodeと並んで紹介されました。
多くのSCA/SASTソリューションは、発見された各脆弱性の詳細や、公開されているアドバイザリや関連するCWEへの参照を数多く提供していますが、すべての開発者がセキュリティの専門家ではありませんし、それを期待すべきでもありません。実用的で使いやすいアドバイスやツールこそが、実行可能な認識への鍵となります。
コンテクスト・マイクロ・ラーニング
開発者が脆弱性についての理解を深めれば深めるほど、リスクを理解し、最も差し迫った問題の修正を優先し、最終的には脆弱性の発生を未然に防ぐことができます。そこでSecure Code Warrior の出番です。私たちの使命は、楽しく、魅力的で、フレームワークに特化したトレーニングを通じて、開発者が最初から安全なコードを書けるようにすることです。また、開発者がセキュリティマインドセットを持って考え、コードを書くことで、セキュリティコンプライアンス、一貫性、品質、開発スピードの迅速な向上を実現できるよう支援します。
GitHubコードスキャンの統合
Secure Code Warrior は、GitHubのコードスキャンにコンテクスト学習をもたらすGitHubアクションを構築しました。つまり、開発者はSnyk Container Actionのようなサードパーティのアクションを使って脆弱性を発見し、CWEに特化した、関連性の高い学習によって出力を増強することができます。
Secure Code Warrior GitHub Actionは、業界標準のSARIFファイルを処理し、SARIFルールオブジェクトのCWE参照に基づくコンテキスト学習を追加します。これにより、開発チームとセキュリティチームは、脆弱性を発見するだけでなく、脆弱性の再発防止に役立つ実用的な知識でサポートされるSASTツールのレポートを充実させることができます。
自分で試してみる準備はできていますか?
このアクションは、GitHub Marketplaceから直接無料で入手できます。
Secure Code Warrior GitHub Action について詳しくは、こちらをご覧ください。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
SSDLCの各段階で安全なコーディングスキルを身につける
新しいGitHub Actionにより、業界標準のSARIFファイルに開発者中心のトレーニングを追加し、GitHubのコードスキャンワークフローに直接追加することができます。
9月30日、GitHubは「GitHubコードスキャン」の一般提供を正式に発表しました。GitHubコードスキャンは、開発者を優先し、GitHubネイティブなアプローチで、セキュリティ上の脆弱性が本番環境に到達する前に簡単に発見することができます。
コードスキャンは、GitHub Actionsや既存のCI/CD環境と統合することで、開発チームの柔軟性を最大限に高めます。コードが作成されると同時にコードをスキャンし、プルリクエスト内で実行可能なセキュリティレビューを表示し、GitHubのワークフローの一部としてセキュリティを自動化します。
開発者のためのセキュリティへのシームレスなアプローチ。
オープンなSARIF(Static Analysis Results Interchange Format)標準をベースに構築されたコードスキャンは、増え続ける組織のニーズに合わせて設計されており、オープンソースや商用の静的アプリケーションセキュリティテスト(SAST)ソリューションなどを同じGitHubネイティブ体験内に含めることができます。
サードパーティのコードスキャンツールは、プルリクエストなどのGitHub内のイベントに基づいて、GitHubアクションまたはGitHubアプリで起動することができます。結果はSARIFとしてフォーマットされ、GitHub Security Alertsタブにアップロードされます。アラートはツールごとに集約され、GitHubは重複するアラートを追跡して抑制することができる。これにより、開発者はGitHub上のすべてのプロジェクトで好きなツールを使うことができ、すべてGitHubのネイティブなエクスペリエンスで利用できるようになる。簡単に言うと、これは従来のセキュリティに対するいくつかのアプローチの混乱を断ち切り、開発者のワークフローを尊重するものである。
昨日、Secure Code Warrior は、GitHubのブログ記事「Third-Party Code Scanning Tools」の中で、唯一の開発者中心のトレーニングプロバイダーとして紹介されました。Static Analysis & Developer Security Training」で、Synk、Checkmarx、Fortify On Demand、Synopsis、Veracodeと並んで紹介されました。
多くのSCA/SASTソリューションは、発見された各脆弱性の詳細や、公開されているアドバイザリや関連するCWEへの参照を数多く提供していますが、すべての開発者がセキュリティの専門家ではありませんし、それを期待すべきでもありません。実用的で使いやすいアドバイスやツールこそが、実行可能な認識への鍵となります。
コンテクスト・マイクロ・ラーニング
開発者が脆弱性についての理解を深めれば深めるほど、リスクを理解し、最も差し迫った問題の修正を優先し、最終的には脆弱性の発生を未然に防ぐことができます。そこでSecure Code Warrior の出番です。私たちの使命は、楽しく、魅力的で、フレームワークに特化したトレーニングを通じて、開発者が最初から安全なコードを書けるようにすることです。また、開発者がセキュリティマインドセットを持って考え、コードを書くことで、セキュリティコンプライアンス、一貫性、品質、開発スピードの迅速な向上を実現できるよう支援します。
GitHubコードスキャンの統合
Secure Code Warrior は、GitHubのコードスキャンにコンテクスト学習をもたらすGitHubアクションを構築しました。つまり、開発者はSnyk Container Actionのようなサードパーティのアクションを使って脆弱性を発見し、CWEに特化した、関連性の高い学習によって出力を増強することができます。
Secure Code Warrior GitHub Actionは、業界標準のSARIFファイルを処理し、SARIFルールオブジェクトのCWE参照に基づくコンテキスト学習を追加します。これにより、開発チームとセキュリティチームは、脆弱性を発見するだけでなく、脆弱性の再発防止に役立つ実用的な知識でサポートされるSASTツールのレポートを充実させることができます。
自分で試してみる準備はできていますか?
このアクションは、GitHub Marketplaceから直接無料で入手できます。
Secure Code Warrior GitHub Action について詳しくは、こちらをご覧ください。