前半しかいなかったので、その部分だけ備忘録。
HPのGriggs, Jonathanさんという方の発表。
Closer to the Developer
1.
・トレンド
・Foritfyの開発前の導入に関して
アタッカーはアプリケーションを狙うのが一般的
情報漏洩の84%はアプリケーション層(ソースは米国機関
・傾向
より多くの会社がセキリュティテストを行っている。
2.
・セキュリティゲートウェイ
出荷前に動的セキュリティスキャンを実施
95%の開発が完了時点で実施
セキュリティはビジネスより軽視
→コストとの兼ね合いで軽視されがち
・チェックボックスソリューション
最小限のリクワイアメントを適用(PCI、SOX
幅広い脆弱性を検査しているわけではない。(一部分だけ
→必要最小限でコスト削減?全体をやるようなトレンドではない
・ハイブリッドセキュリティモデル
重要でないアプリケーションに対してはクラウドセキュリティ診断
重要なアプリケーションに対してはオンプレミスのセキュリティ診断がエキスパートによって実施
→重要度によってかけるコストを決定。効率的に
3.
・セキュリテイライフサイクル
静的診断
Development, Testing
動的診断
Production, Maintenance
4.
・セキュリティゲート
現状のやり方では、診断がボトルネックになる。
なぜ有効でないか。リリース後には30倍以上の費用がかかる。(デザイン段階の解消より
Requirements 2x
Coding 5x
Integratino component testing 10x
Sysytem Testing 20x
5.
・セキュリティライフサイクルへの導入
開発の中にセキュリティの観点を導入(Fortifyでそれを勧めているよーな話
WebInspect, SCA, Runtime, On Demmand
よりはやい段階での動的テストをしよー
6.
SSA (Software Security Assurance)
→ベストプラクティスに近づくための主な原則
・クリティカルな脆弱性の早期発見、対策
修正を忘れることなく実施
・新しい脆弱性を作ることを阻止
最小の行程変更で寄贈んのSDLCへ導入
新しいSDLCが実行された時に柔軟性を提供
・開発者への支援
現在使用しているコードへのトレーニング
必要に応じての助言
→作り込まないための施策
・監視と制御
脆弱性統計レポートの自動生成
セキュリティゲートを経て施工
→セキュリティゲートで確認するのではなく、今までの結果をセキュリティゲートで精査する方向
・継続的な改善
7.
開発段階での動的診断
・自動化
- 手動では時間がかかる
→人間が関与すると、手間、ヒューマンエラーが増える
- 自動展開するウェブサイト
QAテストのために行われている
動的診断のためにQAテストスクリプトの再利用
・スケジュールスキャン
- ほとんどの動的スキャナーはAPIまたはコマンドラインインターフェイスを持っている
- ビルドごとにスキャンが必要でなく、週に1、2回の実施
→コストを削減して、でも、最低限見つけれるようにしよー?
・バグトラッキングシステムとの連携
- XMLファイルをエクスポートし、バグトラッキングシステムへ取り組む
→セキュリティの問題はバグなので
8.
SSAのゴールと利点
成功するソフトウェアセキュリティの取り組み
・アプリケーションからのリスク軽減を数値化
・新規リリースのアプリケーションが脆弱性を持たないように管理されたプロセス
・緊急のバグフィックスやインシデントとからの遅延や労力をヘルスごとでコスト削減
→アプリケーションスキャンの観点では、内製、外製のものに対しても実施できるからいいよー
9.
Jekins統合のWebinar
https://www.brighttalk.com/webcast/1903/92961
------
2部?の資料が公開されていたので、後ほど確認。
https://speakerdeck.com/ykame/2-and-security-in-owasp-night-17th
0 件のコメント:
コメントを投稿