Harness Security Testing Orchestrationの紹介

Security Testing Orchestrationは、セキュリティースキャナーで検出されたアプリケーションの脆弱性の解釈、分析、修正に関連する時間と労力を削減したいチームのための製品です。

本日、Harness Software Delivery Platformの新モジュールを発表します。開発者が高い速度を維持しながら、アプリケーションサービスの高い安全性を確保できるよう支援するモジュールです。Harness Security Testing Orchestration（STO）は、DevSecOpsとして知られる人気の高いシフトレフトのセキュリティーアプローチを、チームがより簡単に採用できるように設計されています。

Harness Security Testing Orchestrationは、セキュリティースキャナーで検出されたアプリケーションの脆弱性を解釈、分析、修正するための時間と労力を削減したいチームのための製品です。Harness STOを使用すれば、もはやスピードとセキュリティーのどちらかを選択する必要はありません。セキュリティーポリシーに準拠するためのガードレールを設置し、エンジニアリングチームの速度を低下させる重労働を肩代わりします。

Harness STOを使用すると、複数のスキャナーのデータを手動で解析する時間や、何を修正すべきかを判断する時間を短縮することができます。STOは、既存のセキュリティースキャナーを強化するため、エンジニアリングチームは安全性の高いアプリケーションサービスを提供しながら速度を維持することができます。

DevSecOpsのプラクティスの採用

あらゆる規模の企業が以下のような共通の課題を回避しながらDevSecOpsアプローチを採用し導入できるようにHarness STOは設計されています。

• 脆弱性のあるコードを取り除き、再テストするための大幅な手直し。
• 何を修正する必要があるかを決定する苦労。
• 修正する優先順位を決定する苦労。
• セキュリティポリシーを標準化できない困難。
• 一貫したアプリスキャンが不可能。
• 現在のアプリの脆弱性状態を理解できない問題。
• セキュリティー例外の追跡と適用の困難。

DevSecOpsの卓越性を達成するために

Harness STOは、エンジニアリングおよびDevOpsチームのためのソリューションです。STOでは、どのスキャナーを使用するか、どのような基準で合格または不合格とするかを定義するポリシーを作成します。STOのユーザーは、CI/CDパイプラインにセキュリティーガードレールを作成することもできます。これらのガードレールは、パイプラインを次のステージに進めるかどうかを決定します。セキュリティースキャナーの結果は、セキュリティーガードレールの動作を駆動するために使用されます。

セキュリティースキャナーの出力はHarness STOで収集され、異種情報の正規化、重複排除、関連付けが行われます。その結果、脆弱性の優先順位付けされたリストと改善案が作成されますが、このリストの作成にエンジニアリングやDevOpsは一切関与しません。

STOは、Harness CI/CDまたは任意のCI/CDツールと共に使用できます。セキュリティーパイプラインステップはAPIコールで呼び出すことができ、究極の柔軟性と、一元化され相関性のあるスキャナー結果という付加的な利点を備えています。速度とセキュリティーは、もはや相反するものである必要はないのです。

結論

安全性の高いアプリケーションの提供は、チームワークの賜物です。成功するためには、各チームは、ソフトウェアデリバリーの適切な段階で適切なスキャナーを使用する必要があります。エンジニアリングチームは安全なアプリケーションを提供したい一方で速度を維持する必要があります。

Harness Security Testing Orchestrationの詳細について知りたい、または使い始めてみたいという方は、詳しくはこちらをご覧ください。

この記事はHarness社のウェブサイトで公開されているものをDigital Stacksが日本語に訳したものです。無断複製を禁じます。原文はこちらです。