継続的デリバリーのボトルネック、セキュリティに必要な「シフトレフト」とは？

要約

　今やあらゆるビジネスはソフトウェアに依存しており、リリースのさらなる加速が求められている。このため、開発環境はアジャイルな継続的デリバリーモデルへの移行が進んでいるが、ボトルネックとなっているのがセキュリティだ。セキュリティチームは開発のスピードアップに対応するのに追われ、セキュリティテストや修復に十分な時間を掛けられずにいる。

　この原因の1つは、セキュリティテストや修復を開発ライフサイクルの後半に行うことにある。事後対応型ではコストも時間も掛かり、プロジェクトに後れが生じるリスクも招く。この改善のために変えるべきは、セキュリティテスト業務の前倒し、いわゆる「シフトレフト」だ。要件定義や設計、コーディングの段階からセキュリティスキャンを実施することで、脆弱性を早期に発見し、修復に要する期間を短縮できる。

　本資料は、開発ライフサイクルにおけるセキュリティテストのシフトレフトを可能にするツールの機能および、その効果を分析したドキュメントだ。実際、導入企業ではリリース速度の向上、誤検出の削減、修復の迅速化などの有意な効果が確認できた。本資料を参考に、継続的デリバリーのボトルネックを解消してほしい。