新機能:Oktaワークフロー用SCWコネクター

2022年06月02日掲載
でSecure Code Warrior
ケーススタディ

新機能:Oktaワークフロー用SCWコネクター

2022年06月02日掲載
でSecure Code Warrior
リソースを見る
リソースを見る
Secure Code Warrior とOktaがセキュアな開発者向けワークフローを提供開始
Secure Code Warrior とOktaがセキュアな開発者向けワークフローを提供開始

Secure Code Warrior 株式会社オクタと共同で、開発者のワークフローを保護するための新たな方法を発表

開発者は、これまで以上に質の高いコードを迅速に提供することが求められていますが、非現実的な納期がソフトウェア品質の低下や脆弱なコードの発生につながることは間違いないでしょう。67%の開発者が、厳しい納期のせいもあって、脆弱性のあるコードを出荷していると考えていることは、驚くには値しません(State of Developer-Driven Security 2022)。脅威と侵害が増え続ける中、セキュリティはもはや後回しにすることはできず、DevSecOpsサイクル全体に統合する必要があります。

組織と開発者がソフトウェア開発ライフサイクルの最初から安全なコードを書くことができるようにする、Secure Code Warrior Connector for Okta Workflowsを発表できることを嬉しく思います。SCWと、アイデンティティの独立系大手プロバイダであるOktaのこの新しいコラボレーションは、開発者をワークフローから移動させずに、チームが脆弱性を減らすために安全なコードをコミットしていると確信できるよう、AppSec管理者を強化するセキュリティ能力チェックを作成します。さらに、Secure Code Warrior と Okta のシングルサインオンを追加し、この素晴らしい新しいソリューションの活用をよりシンプルにしました。

脆弱性導入のリスクを低減する

開発チームは従来、セキュリティ上の問題を発見し修正するために、プラグイン、スキャンツール、コードレビューなど、開発サイクルの後半にある反応的または低速なプロセスに依存してきました。これらのアプローチには多くの利点がありますが、脆弱なコードや将来の手戻りに対するリスクが高すぎるだけです。私たちは、組織がセキュリティを左側にシフトし、後手に回るのではなく、先手を打つセキュリティスタンスをとることを支援します。新しいSecure Code Warrior Connector for Okta Workflows は、個々の開発者がコードをコミットするためのリポジトリアクセスを許可されるために必要なセキュアコーディングスキルを達成していることを確認することによって、セキュリティの考え方を開発サイクル全体に統合しています。この統合により、開発者はSCWの非常に魅力的なプラットフォームを通じて最新のセキュリティプラクティスを学ぶことができ、手動コードレビューの負担が軽減されるため、品質を犠牲にすることなく、より多くの機能を出荷するためにエンジニアリング時間を確保することができます。

AppSec とエンジニアリングリーダーは、SCW の広範なlearning platform を活用して、パーソナライズされた評価とパスを作成し、開発者が最優先の安全なコーディングニーズに集中し、正しい専門知識を獲得して、自信を持ってコードをチェックインできるようにします。コンテンツの幅と深さ、6500以上のインタラクティブなコーディングチャレンジ、56以上の言語:フレームワーク、150以上の脆弱性カテゴリを活用することで、あなたの組織のほぼすべてのニーズを満たすことができることを確認することができます。

チームのために適切な学習戦略を作成したら、assessment のスコアとコースの完了状況を使用して、開発者がセキュリティ優先のアプローチでソフトウェアを構築するための適切なスキルを持っているかどうかを判断することができるようになりました。Oktaとの新しい統合により、assessment のスコアに基づいて各開発者の権限を自動化し、コードのコミットに対する個々の開発者の承認を容易に拡大したり、スキルセットをさらに向上させる機会を特定したりすることができるようになりました。

SCWプラットフォームでの柔軟でインタラクティブな学習体験のおかげで、開発者は常に楽しみながら学習することができ、コンプライアンスのチェックボックスから説得力のある価値あるものへと、学習への取り組みが変化していることを実感しています。

その仕組み

Okta Workflows用Secure Code Warrior Connectorは、if-thenロジックを使用して、Okta WorkflowsのコードなしID自動化およびオーケストレーション設定を簡単に構築することができます。Connectorは、APIコールや構成設定の複雑さを気にすることなく、ワークフロータスクを実行できるよう、一連のActionを使用します。

開発者のワークフローを確保するためのシンプルな設計は、次のようなものです。

シンプルなデザインで開発者のワークフローを確保
開発者のセキュアコーディング能力に応じて、レポへのアクセスを許可または拒否するワークフローです。

ここでは、ワークフローの全体設計の概要を説明します。

完全なワークフロー設計
Okta Workflowsで作成したワークフローのフルデザイン

それでは、順を追って説明します。

1.開発者のセキュリティ熟練度を判断するために使用されるassessment ID を設定します。また、設定の一環として、組織やリポジトリなどのGitHubの詳細を追加します。

Assessment ID for Developers Security Proficiencyを設定する。
Assessment と GitHub の設定詳細の追加

2.CheckAssessment Completion For User というアクションを使用して、ワークフローは開発者が特定のassessment を正常に通過したかどうかをチェックします。

Assessment の完成度を確認するワークフロー
コネクタアクションの使用 - ユーザーのAssessment の完了を確認する

3.希望するコース/assessment を完了した場合、または特定のスコアを達成した場合、GitHub Connector を使用してリポジトリへのアクセスを許可する。要件を満たしていない場合は、通知を生成するか、別のOktaワークフローをトリガーして適切なアクションを取ることができます。

Oktaワークフロー
アクセスを許可するか、拒否されたら通知を送るか、これとこれとこれのロジック

上記のチェックは、1回限り、定期的、または継続的に実行されるように設計することができ、適格な開発者のみを安全なワークフローに導き続けることができます。

SCW Connector Actionの他の可能なものは以下の通りです。

  • ListAssessment Attempts For User - 特定のユーザーに対するすべての試行回数をリストアップします。assessment
  • Check Course Completion For User - ユーザーが指定したコースを修了しているかどうかを判定します。
  • List Course Enrollments For User - 特定のコースIDに対して、ユーザが持っているすべての登録情報をリストアップします。
  • カスタムAPIアクション - 利用可能なActionで可能なもの以外のAPIコールを実行します。

高品質で安全なコードを自信を持ってより早くリリース

SCW Connectorは、ソフトウェア開発ライフサイクルの開始時に脆弱性が混入するリスクの低減を支援します。コードレビューやスキャンツールと同様に、開発者が最初から安全なコードを書いていることを確認するための品質ゲートとしての役割を果たします。その結果、コードのレビューや回避可能な問題の修正に費やす時間が減り、高品質のコードをより早く出荷することに重点が置かれるようになります。さらに、Connector は、開発者がセキュリティ能力を維持するために SCW のlearning platform に積極的に関与することを奨励することで、セキュリティ優先の文化を促進することにも役立っています。開発者が学習し、セキュリティ成熟度を向上させ続けることで、新しいコードに含まれる脆弱性が減少し続けるのです。これにより、アプリケーションセキュリティチームの修正サポートの負担が軽減され、組織全体のセキュリティ態勢の強化により注力することができます。

Secure Code Warrior Connector for Okta Workflowsと一緒に、私たちの learning platform開発チームのセキュリティ能力を向上させることで、セキュリティの左遷という目標をより早く達成することができるのです。

デモのご予約はこちらから、セットアップや設定の詳細については、ドキュメントをご覧ください。

リソースを見る
リソースを見る

著者

Secure Code Warrior

Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

新機能:Oktaワークフロー用SCWコネクター

2022年06月02日掲載
BySecure Code Warrior

Secure Code Warrior 株式会社オクタと共同で、開発者のワークフローを保護するための新たな方法を発表

開発者は、これまで以上に質の高いコードを迅速に提供することが求められていますが、非現実的な納期がソフトウェア品質の低下や脆弱なコードの発生につながることは間違いないでしょう。67%の開発者が、厳しい納期のせいもあって、脆弱性のあるコードを出荷していると考えていることは、驚くには値しません(State of Developer-Driven Security 2022)。脅威と侵害が増え続ける中、セキュリティはもはや後回しにすることはできず、DevSecOpsサイクル全体に統合する必要があります。

組織と開発者がソフトウェア開発ライフサイクルの最初から安全なコードを書くことができるようにする、Secure Code Warrior Connector for Okta Workflowsを発表できることを嬉しく思います。SCWと、アイデンティティの独立系大手プロバイダであるOktaのこの新しいコラボレーションは、開発者をワークフローから移動させずに、チームが脆弱性を減らすために安全なコードをコミットしていると確信できるよう、AppSec管理者を強化するセキュリティ能力チェックを作成します。さらに、Secure Code Warrior と Okta のシングルサインオンを追加し、この素晴らしい新しいソリューションの活用をよりシンプルにしました。

脆弱性導入のリスクを低減する

開発チームは従来、セキュリティ上の問題を発見し修正するために、プラグイン、スキャンツール、コードレビューなど、開発サイクルの後半にある反応的または低速なプロセスに依存してきました。これらのアプローチには多くの利点がありますが、脆弱なコードや将来の手戻りに対するリスクが高すぎるだけです。私たちは、組織がセキュリティを左側にシフトし、後手に回るのではなく、先手を打つセキュリティスタンスをとることを支援します。新しいSecure Code Warrior Connector for Okta Workflows は、個々の開発者がコードをコミットするためのリポジトリアクセスを許可されるために必要なセキュアコーディングスキルを達成していることを確認することによって、セキュリティの考え方を開発サイクル全体に統合しています。この統合により、開発者はSCWの非常に魅力的なプラットフォームを通じて最新のセキュリティプラクティスを学ぶことができ、手動コードレビューの負担が軽減されるため、品質を犠牲にすることなく、より多くの機能を出荷するためにエンジニアリング時間を確保することができます。

AppSec とエンジニアリングリーダーは、SCW の広範なlearning platform を活用して、パーソナライズされた評価とパスを作成し、開発者が最優先の安全なコーディングニーズに集中し、正しい専門知識を獲得して、自信を持ってコードをチェックインできるようにします。コンテンツの幅と深さ、6500以上のインタラクティブなコーディングチャレンジ、56以上の言語:フレームワーク、150以上の脆弱性カテゴリを活用することで、あなたの組織のほぼすべてのニーズを満たすことができることを確認することができます。

チームのために適切な学習戦略を作成したら、assessment のスコアとコースの完了状況を使用して、開発者がセキュリティ優先のアプローチでソフトウェアを構築するための適切なスキルを持っているかどうかを判断することができるようになりました。Oktaとの新しい統合により、assessment のスコアに基づいて各開発者の権限を自動化し、コードのコミットに対する個々の開発者の承認を容易に拡大したり、スキルセットをさらに向上させる機会を特定したりすることができるようになりました。

SCWプラットフォームでの柔軟でインタラクティブな学習体験のおかげで、開発者は常に楽しみながら学習することができ、コンプライアンスのチェックボックスから説得力のある価値あるものへと、学習への取り組みが変化していることを実感しています。

その仕組み

Okta Workflows用Secure Code Warrior Connectorは、if-thenロジックを使用して、Okta WorkflowsのコードなしID自動化およびオーケストレーション設定を簡単に構築することができます。Connectorは、APIコールや構成設定の複雑さを気にすることなく、ワークフロータスクを実行できるよう、一連のActionを使用します。

開発者のワークフローを確保するためのシンプルな設計は、次のようなものです。

シンプルなデザインで開発者のワークフローを確保
開発者のセキュアコーディング能力に応じて、レポへのアクセスを許可または拒否するワークフローです。

ここでは、ワークフローの全体設計の概要を説明します。

完全なワークフロー設計
Okta Workflowsで作成したワークフローのフルデザイン

それでは、順を追って説明します。

1.開発者のセキュリティ熟練度を判断するために使用されるassessment ID を設定します。また、設定の一環として、組織やリポジトリなどのGitHubの詳細を追加します。

Assessment ID for Developers Security Proficiencyを設定する。
Assessment と GitHub の設定詳細の追加

2.CheckAssessment Completion For User というアクションを使用して、ワークフローは開発者が特定のassessment を正常に通過したかどうかをチェックします。

Assessment の完成度を確認するワークフロー
コネクタアクションの使用 - ユーザーのAssessment の完了を確認する

3.希望するコース/assessment を完了した場合、または特定のスコアを達成した場合、GitHub Connector を使用してリポジトリへのアクセスを許可する。要件を満たしていない場合は、通知を生成するか、別のOktaワークフローをトリガーして適切なアクションを取ることができます。

Oktaワークフロー
アクセスを許可するか、拒否されたら通知を送るか、これとこれとこれのロジック

上記のチェックは、1回限り、定期的、または継続的に実行されるように設計することができ、適格な開発者のみを安全なワークフローに導き続けることができます。

SCW Connector Actionの他の可能なものは以下の通りです。

  • ListAssessment Attempts For User - 特定のユーザーに対するすべての試行回数をリストアップします。assessment
  • Check Course Completion For User - ユーザーが指定したコースを修了しているかどうかを判定します。
  • List Course Enrollments For User - 特定のコースIDに対して、ユーザが持っているすべての登録情報をリストアップします。
  • カスタムAPIアクション - 利用可能なActionで可能なもの以外のAPIコールを実行します。

高品質で安全なコードを自信を持ってより早くリリース

SCW Connectorは、ソフトウェア開発ライフサイクルの開始時に脆弱性が混入するリスクの低減を支援します。コードレビューやスキャンツールと同様に、開発者が最初から安全なコードを書いていることを確認するための品質ゲートとしての役割を果たします。その結果、コードのレビューや回避可能な問題の修正に費やす時間が減り、高品質のコードをより早く出荷することに重点が置かれるようになります。さらに、Connector は、開発者がセキュリティ能力を維持するために SCW のlearning platform に積極的に関与することを奨励することで、セキュリティ優先の文化を促進することにも役立っています。開発者が学習し、セキュリティ成熟度を向上させ続けることで、新しいコードに含まれる脆弱性が減少し続けるのです。これにより、アプリケーションセキュリティチームの修正サポートの負担が軽減され、組織全体のセキュリティ態勢の強化により注力することができます。

Secure Code Warrior Connector for Okta Workflowsと一緒に、私たちの learning platform開発チームのセキュリティ能力を向上させることで、セキュリティの左遷という目標をより早く達成することができるのです。

デモのご予約はこちらから、セットアップや設定の詳細については、ドキュメントをご覧ください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。