Desde o começo da computação moderna, a segurança se separou muito do desenvolvimento de software. Pesquisas recentes sobre vulnerabilidade confirmam essa teoria. Consideremos que nos últimos cinco anos, de todas as vulnerabilidades publicadas, 76% vieram de aplicativos. Dada essa mudança radical no foco dos invasores, este é o momento para integrar a segurança e o desenvolvimento. A melhor forma de fazer isso é implementando uma estratégia de segurança "shift-left".

Como definir a segurança "shift-left"

Em termos gerais, segurança “shift left” é colocar a segurança no ponto mais inicial possível do processo de desenvolvimento. Os CI/CD modernos geralmente envolvem um processo de oito etapas, conforme mostrado na Figura 1 a seguir. Pense que a segurança "shift-left" é boa para reduzir os riscos cibernéticos e os custos também. O System Sciences Institute da IBM observou que resolver problemas de segurança durante o desenvolvimento é seis vezes mais barato do que durante a implementação. O mesmo estudo também observou que resolver problemas de segurança durante os testes pode ser 15 vezes mais oneroso.

Intencionalmente incorporar a segurança em cada uma dessas etapas começa com estratégias claramente definidas.

Figura 1: IC/DC

Etapa 1: defina sua estratégia de segurança "shift-left"

O primeiro passo de toda jornada é definir onde se pretende chegar. Se trata de passar a ideia mais realista possível para sua equipe, para que ela saiba como é o sucesso. Os principais itens a serem incluídos nesse documento são a visão, propriedade/responsabilidade, eventos importantes e métricas. Espere que o documento de estratégias amadureça com o tempo e não gaste muito tempo tentando aperfeiçoá-lo. A iteração com o tempo é essencial.

Etapa 2: compreenda onde e como o software é criado na sua organização

Talvez um dos aspectos mais desafiadores da segurança "shift-left" é conhecer como e onde o software é criado na sua organização. Dependendo do tamanho da sua empresa, isso pode variar entre simples a extremamente desafiador.

O objetivo dessa etapa é olhar primeiro para a organização como um todo e documentar o fluxo completo do software na sua empresa. Empresas de médio a grande porte querem começar na escala macro e então levar para unidades de negócios individuais. É muito provável que cada unidade de negócios tenha seu próprio processo e suas próprias ferramentas de desenvolvimento de software. Os principais itens para identificar essa fase incluem quem está desenvolvendo o código (pessoas), como eles circulam pelos laptops de desenvolvimento para a produção (processo) e quais sistemas eles estão usando para possibilitar o processo (tecnologia). Isso também pode ser visto como a cadeia de ferramentas CI/CD. Sem dúvida, grande parte do desenvolvimento do seu software está sendo feito na nuvem pública.

Etapa 3: como identificar e implementar protetores de qualidade da segurança

Garantia de qualidade sempre fez parte do ciclo de vida do desenvolvimento de software. Contudo, historicamente, a qualidade do software não incluía segurança. Isso tem que mudar, e o trabalho feito nas etapas anteriores vão lhe preparar para isso. Cada etapa do processo de desenvolvimento de software é uma oportunidade de dar feedback e procurar os problemas de segurança. As equipes de segurança mais eficientes começam pequenas. Elas dão às equipes de desenvolvimento ferramentas simples e eficazes que se tornam parte da rotina diária de desenvolvimento. Uma dessas ferramentas foi recentemente disponibilizada de forma aberta pela Palo Alto Networks, o que significa que ela pode ser usada gratuitamente.

Etapa 4: avaliar e treinar continuamente equipes de desenvolvimento na codificação da segurança

Parte da sua jornada rumo à segurança "shift-left" é garantir que, antes de mais nada, as pessoas que fazem a grande parte da codificação criem códigos de segurança. Isso é difícil se você não tiver uma métrica objetiva de como está a qualificação deles hoje e um plano para a melhorar continuamente com o passar do tempo. Uma pesquisa considerou esses dados e concluiu que 19% dos desenvolvedores disseram que não estão familiarizados com o OWASP Top 10 e disseram que essa é uma área que não deveria ser negligenciada. Para ressaltar esse ponto, uma pesquisa publicada recentemente pelo provedor de serviços de DevOps GitLab estimou que 70% dos programadores escrevem códigos de segurança, mas apenas 25% deles acham que as práticas de segurança da empresa em que trabalham são "boas".

Como é a segurança "shift-left"

Vamos analisar dois cenários em que simplificamos o desenvolvimento nas etapas de construção, implementação e execução. No primeiro cenário, o desenvolvimento começa sem segurança. A qualidade do software só é verificada na hora da execução. Isso geralmente resulta em conversas difíceis entre a segurança e o desenvolvimento quando vulnerabilidades são encontradas.

Entretanto, no segundo cenário, as equipes de segurança investiram tempo para compreender o processo de desenvolvimento na sua organização. Elas também consideraram o tempo para incorporar os processos de segurança e as ferramentas no pipeline de CI/CD, o que resultou em protetores automatizados para qualidade da segurança.

Conclusão

Usar as quatro etapas acima colocarão sua organização em um caminho certeiro rumo não apenas à segurança "shift left", mas também para tornar a segurança um sinônimo de desenvolvimento. Na medida que sua organização caminha rumo ao "shift-left" como parte de sua jornada para a nuvem, é importante que os controles de segurança sejam automatizados e executados por APIs. O Prisma da Palo Alto Networks permite que as equipes de segurança façam exatamente isso ao proteger as DevOps e o seu pipeline CI/CD.

自從現代運算開始以來，安全性已經在很大程度上與軟體開發分離開。最近的弱點研究已證實這一點。考慮過去五年中所有已發佈的弱點，有 76% 來自於應用程式。有鑑於攻擊者相當關注這種根本上的轉變，因此亟需將安全嵌入到開發過程中。完成此任務的最佳方法是採取測試左移安全策略。

界定測試左移安全

用最簡單的術語來說，安全「測試左移」是將安全轉移到開發過程中盡可能早的時間點。現代持續整合/持續部署通常涉及八個步驟，如下面的圖 1 所示。考慮到測試左移安全不僅可以減少網路風險，而且可以降低成本。IBM 系統科學研究所發現，在設計階段解決安全問題的成本比實施階段便宜 6 倍。這項研究還發現，在測試過程中解決安全問題的成本可能會高出 15 倍。

若要在每個步驟中嵌入安全性，需要先從明確定義的策略開始。

圖 1：持續整合/持續部署

步驟 1：定義測試左移安全策略

任何旅程的第一步都是確定打算前往的目的地。這會為您的團隊繪製最生動的畫面，呈現最終成功的樣貌。本文件中包含的關鍵項目包括願景、所有權/責任、里程碑和指標。預期策略文件隨著時間的推移而臻於成熟，而且不需要花費過多的時間來改善。隨著時間的推移而重複進行的過程相當重要。

步驟 2：瞭解在組織中建立軟體的位置和方式

測試左移安全最具挑戰性的一面可能是首先要瞭解組織中建立軟體的方式和位置。根據公司的規模，這可能涉及從簡單到極具挑戰性的不同範圍。

此步驟的目標是先查看整個組織，並記錄公司的整體軟體流程。中大型組織會想要從宏觀層面開始，然後深入到各個業務部門。每個業務部門很可能都有各自的軟體開發流程和工具。在此階段確定的關鍵項目包括誰撰寫程式碼 (人員)、如何從開發筆記型電腦流向生產 (流程)，以及使用哪些系統來啟用流程 (技術)。這也可以稱為持續整合/持續部署工具鏈。毫無疑問，大部份軟體開發都是在公有雲中完成。

步驟 3：確定並實作安全品質防護措施

品質保證一直是軟體開發生命週期的一部份。不過，軟體品質不曾涵蓋安全性。必須改變這種情況，前面步驟中完成的工作將協助您實現這一點。軟體開發流程的每個步驟都是提供回應和找出安全問題的機會。最有效的安全團隊都是從小規模開始著手。小規模能夠為開發團隊提供簡單有效的工具，這些工具將在日常開發活動中發揮作用。Palo Alto Networks 最近對一套這樣的工具開放了原始碼，可供免費使用。

步驟 4：評估並持續訓練開發團隊撰寫安全的程式碼

測試左移安全過程的一部份是確保完成大部分程式碼的人員首先建立安全的程式碼。如果您並未客觀衡量這些人員目前擁有的技能，而且沒有計劃隨著時間的推移持續提升他們的技能，就很難達成建立安全程式碼的目標。在一項調查中，有 19% 的開發人員表示他們不熟悉 OWASP 十大安全風險，這是一個不容忽視的問題。DevOps 服務供應商 GitLab 最近發佈的一項調查更進一步證實了這一點，該調查發現 70% 的程式設計人員期望編寫安全程式碼，不過只有 25% 的人認為本身的組織採取「良好」的安全實務。

測試左移安全的運行方式

讓我們看看以下兩種情境，其中的開發簡化為建構、部署和執行階段。在情境 1 中，開始進行開發而不考慮安全性。僅在執行階段檢查軟體品質。這通常會導致在發現弱點後安全性與開發之間不容易溝通。

不過，在情境 2 中，安全團隊已經花時間瞭解了組織內部的開發流程。他們還花時間在持續整合/持續部署管道中嵌入了安全流程和工具，因而產生自動的安全品質防護措施。

結論

運用上述四大步驟有助於組織邁向堅實的道路，不僅可以將安全測試左移，而且可以將安全性與開發劃上等號。隨著組織將安全測試左移作為雲端遷移之旅的一部分，自動化和 API 驅動的安全控制變得極為重要。Palo Alto Networks Prisma 會保護 DevOps 和您的持續整合/持續部署管道，以確保安全團隊能夠做到這一點。

自从现代计算出现以来，安全防护便与软件开发产生了巨大的脱节。最近的漏洞研究证实了这一点。在过去五年间，所有已发布的漏洞中有 76% 来自应用。鉴于攻击者的重点产生了这种根本性的转变，到了将安全防护嵌入开发的时候了。为实现这一点，最好的方式是实施安全防护左移策略。

安全防护左移定义 

用最简单的术语来解释，安全防护“左移”就是将安全防护尽可能地移到开发流程的早期。现代 CI/CD 流程通常包括八个步骤，如图 1 所示。安全防护左移不仅有利于降低网络风险，还可以降低成本。IBM 的系统科学研究所发现，在设计过程中解决安全问题，比在实施过程中解决的成本要低六倍。同一项研究还发现，在测试过程中解决安全问题的成本甚至要高出 15 倍。

要有意识地将安全防护嵌入到每个步骤中，首先需要清晰地定义策略。

图 1：CI/CD

步骤 1：定义安全防护左移策略

千里之行，目标为先。为您的团队勾画鲜明的图景，让成员了解怎样才算获得成功。在该文档中，需要包含的关键内容是愿景、所有权/责任、里程碑和指标。策略文档会随着时间而变得成熟，不要花费太多时间试图使其完美无缺。随时间的推移而迭代是必不可少的。

步骤 2：了解企业中创建软件的位置和方法

安全防护左移最有挑战的一个方面，可能是首先掌握企业中软件创建的方法和位置。根据企业的规模，这项工作可能非常简单，也可能非常困难。

此步骤的目标是从企业范围开始了解，并记录下企业中软件的整体流程。大中型企业都希望从宏观入手，然后细化到单独的业务单位。很可能每个业务单位都有自己的软件开发流程和工具。在此阶段要识别的关键项目，包括谁开发代码（人员），如何从计算机开发推进到生产（流程），以及使用何种系统支持流程（技术）。这也可以称为 CI/CD 工具链。毫无疑问，很多软件开发的流程在公有云中进行。

步骤 3：识别并实施安全质量护栏

质量保证一直是软件开发生命周期的一部分。但是在过去，安全防护从未包括在软件质量中。这种现状必须改变，之前的步骤中完成的工作会帮助您做到这一点。软件开发流程中的每个步骤都是提供反馈、查找安全问题的机会。最有效的安全团队从小事开始入手。他们为开发团队提供简单高效的工具，并让这些工具成为日常开发例程的一部分。Palo Alto Networks 最近公开了一个此类工具的源代码，意味着可以免费使用。

步骤 4：评估并不断训练开发团队的安全编码能力

安全防护左移的其中一步，是确保作为编码主体的人员在开发初期便创建安全的代码。如果没有对他们现在的技巧进行客观衡量，也没有持续改善技巧的计划，那么实现这一步很难。一项调查表明，19% 的开发人员表示自己不熟悉 10 大 OWASP，这一点不容忽视。DevOps 服务提供商 GitLab 最近发布的一项调查进一步强调了这一点，其中发现有 70% 的程序员应该编写安全的代码，但只有 25% 认为所在企业的安全实践“还不错”。

安全防护左移看起来如何

让我们看一下这两个场景，其中我们将开发简化为构建、部署和运行阶段。在场景 1 中，开发在没有安全防护的情况下运行。仅在运行时检查软件质量。这经常导致在找到漏洞时，安全防护与开发之间的交流非常困难。

但是，在场景 2 中，安全团队花了很多时间了解企业中的开发流程。同时，他们花费时间将安全防护流程和工具嵌入到 CI/CD 过程中，结果实现了自动化的安全防护质量护栏。

结语

利用上述四个步骤，您的组织不仅会稳步实现安全防护的左移，而且能够让安全防护与开发同步。在云旅程中，随着组织趋向左移，自动化且由 API 驱动的安全控制就会显得非常关键。Palo Alto Networks Prisma 帮助安全团队保护 DevOps 和 CI/CD 渠道的安全，从而实现这一点。

현대 컴퓨팅이 시작된 이래로 보안은 소프트웨어 개발과 상당히 분리되어 왔습니다. 최근 취약점 연구에서 이 부분을 확인할 수 있습니다. 지난 5년간 발표된 모든 취약점 중 76%가 애플리케이션에서 발생했다는 점을 고려해 보십시오. 이러한 공격자 중심의 급격한 변화를 감안하여, 이제는 개발 시 보안을 내장해야 합니다. 이를 위한 가장 좋은 방법은 원점 회귀(Shift Left) 보안 전략을 구현하는 것입니다.

원점 회귀(Shift Left) 보안 정의

가장 간단한 용어로서 "원점 회귀(Shift Left)" 보안은 보안을 개발 프로세스에서 가능한 한 초기 시점으로 이동하는 것입니다. 최신 CI/CD에는 일반적으로 아래 그림 1과 같이 8단계 프로세스가 포함됩니다. 원점 회귀 보안은 사이버 리스크를 줄이고 비용을 절감하는 데 유용합니다. IBM의 System Sciences Institute에서는 설계 시 보안 문제를 해결하면 구현 중에 보안 문제를 해결하는 것보다 비용이 6배 더 저렴해진다는 사실을 알아냈습니다. 또한 동일한 연구에서, 테스트 중에 보안 문제를 해결하면 비용이 15배 더 높아질 수 있다는 사실도 발견했습니다.

이렇게 각 단계에서 보안 기능을 의도적으로 내장하려면 먼저 전략을 명확하게 정의해야 합니다.

그림 1: CI/CD

1단계: 원점 회귀(Shift-left) 보안 전략을 정의하십시오

모든 여정에서 첫 번째 단계는 가야 할 방향을 정의하는 것입니다. 이때 어떤 모습의 성공을 이루려는지 팀이 확실히 알 수 있게끔 되도록 생생한 그림을 그려야 합니다. 이 문서에 포함할 주요 항목은 비전, 소유권/책임, 이정표, 메트릭입니다. 전략 문서는 시간이 지나면서 성숙도를 높여가도록 해야 하며, 이 문서를 완벽하게 작성하려고 너무 많은 시간을 투자하지 않아야 합니다. 그리고 시간이 흐름에 따라 반복하는 과정은 필수입니다.

2단계: 소프트웨어가 어디에서 어떻게 제작되는지 이해해야 합니다.

보안 원점 회귀에서 가장 어려운 부분 중 하나는 우선 귀사에서 소프트웨어를 어디에서 어떻게 제작하고 있는지 이해하는 것입니다. 회사 규모에 따라 여기에는 간단한 문제부터 매우 어려운 문제까지 포함될 수 있습니다.

이 단계의 목표는 먼저 전사적인 측면을 살펴보고 회사 내 소프트웨어의 전반적인 흐름을 기록하는 것입니다. 중견기업과 대기업의 경우는 거시적인 수준에서 시작한 다음 개별 사업부로 이동하여 자세히 살펴봐야 할 것입니다. 각 사업부마다 자체 소프트웨어 개발 프로세스와 도구를 보유하고 있을 가능성이 높습니다. 이 단계에서 파악해야 할 주요 항목에는 코드 개발 담당자(직원), 개발 랩톱부터 프로덕션에 이르는 흐름(프로세스), 프로세스를 진행하는 데 사용하고 있는 시스템(기술)이 포함됩니다. 이것을 CI/CD 도구 체인이라고도 합니다. 확실히 소프트웨어 개발의 많은 부분이 퍼블릭 클라우드에서 이뤄지고 있습니다.

3단계: 보안 품질 가드레일을 파악하고 구현해야 합니다.

품질 보증은 항상 소프트웨어 개발 수명 주기의 일부였습니다. 그러나 예전에는 소프트웨어 품질에 보안이 포함되지 않았습니다. 이는 바뀌어야 하며, 이전 단계에서 완료한 작업은 이 작업을 수행하는 데 도움이 됩니다. 소프트웨어 개발 프로세스의 각 단계는 피드백을 제공하고 보안 문제를 찾을 수 있는 기회입니다. 가장 효과적인 보안팀은 소규모로 시작됩니다. 이들은 일상적인 개발 작업에 필수적인 간단하고 효과적인 도구를 개발팀에 제공합니다. 이러한 도구 중 하나는 최근에 Palo Alto Networks에서 오픈소스로 제공되어 누구나 사용할 수 있습니다.

4단계: 시큐어 코딩으로 개발팀을 평가하고 지속적으로 교육해야 합니다.

보안 원점 회귀 여정에는 다수의 코딩을 수행하는 담당자가 처음부터 시큐어 코드를 생성하는 작업이 포함됩니다. 현재 이들의 기술 수준을 객관적으로 평가할 수 없고 시간이 지남에 따라 지속적으로 이들의 기술을 개선할 계획이 없다면, 보안 원점 회귀 여정을 진행하기란 쉽지 않습니다. 한 설문 조사에서 19%의 개발자가 OWASP Top 10에 익숙하지 않다고 대답한 것을 감안하면, 이는 간과해서는 안 될 부분입니다. 또한 DevOps 서비스 제공업체 GitLab이 최근 발표한 설문 조사에서도 70%의 프로그래머가 시큐어 코드를 작성할 것으로 예상되지만 25%만이 자사 자체의 보안 관행이 "우수"하다고 생각하는 것으로 나타났습니다.

원점 회귀(shift-left)의 모습

이제 구축, 배포, 실행 단계로 개발을 단순화한 두 가지 시나리오를 살펴보겠습니다. 시나리오 1번에서는 보안 없이 개발을 시작합니다. 소프트웨어 품질은 런타임 중에만 검사됩니다. 이로 인해 취약점이 발견될 경우 흔히 보안팀과 개발팀 간에 불편한 대화가 오가게 됩니다.

그렇지만 시나리오 2번에서는 보안팀이 기업의 개발 프로세스를 이해하는 데 시간을 투자했습니다. 또한 보안 프로세스와 도구를 CI/CD 파이프라인에 내장하는 데 시간을 쏟았고, 이 과정 덕분에 보안 품질 가드레일이 자동화되었습니다.

결론

위의 네 단계를 활용하면 기업에서 보안을 원점 회귀로 전환하는 확고한 경로를 마련하는 것은 물론, 개발과 보안을 동일 선상에 놓을 수 있게 됩니다. 기업에서 클라우드 여정의 일부로서 원점 회귀로 전환할 때는, 보안 제어를 자동화하고 API를 기반으로 해야 합니다. Palo Alto Networks Prisma는 DevOps 및 CI/CD 파이프라인을 보호함으로써 보안팀이 이 작업을 정확하게 수행할 수 있도록 지원합니다.

現代のコンピューティングが始まって以来、セキュリティは、ソフトウェア開発からかけ離れた存在でした。最近の脆弱性に関する調査でも、このことは分かっています。ただし、過去5年間の公開されているすべての脆弱性のうち、76%はアプリケーションに由来するものでした。このように、攻撃者の狙う対象が大きく変わったことから、セキュリティを開発に組み込むべき時代が到来したと言えます。これを実現するための最善のアプローチが、シフトレフト セキュリティ戦略です。

シフトレフト セキュリティの定義 

「シフトレフト」セキュリティを非常に簡単に説明すると、「開発プロセスの可能な限り早期の段階にセキュリティ対策を移動させること」を意味します。最新のCI/CDにおいては、一般に、以下の図1で示されている8つのステップを踏みます。シフトレフト セキュリティは、サイバーリスクを低減するだけでなく、コスト削減の意味でも効果的です。IBMのSystem Sciences Instituteによると、セキュリティ問題に設計段階で対処しておけば、実装段階で対処する場合と比べ、コストを6分の1に削減できます。同じ調査で、セキュリティ問題にテスト段階で対処する場合には、コストが15倍まで膨らむケースもあるということも判明しました。

これらの各段階にセキュリティを意識的に組み込むには、まず、戦略を明確に定義するところから始める必要があります。

図1: CI/CD

ステップ1: 貴社のシフトレフト セキュリティ戦略を定義する

どのようなジャーニーでも、最初のステップは、どこを目指すかを定義することです。これはたとえるなら、チームのために可能な限り最も鮮明な絵を描くことで、成功のイメージをつかんでもらうのと同じです。この戦略文書に含めるべき重要な項目は、ビジョン、担当分けや責任範囲、マイルストーン、評価基準などです。戦略文書は時間をかけて成熟させていくべきものであり、完璧なものを作ろうとして時間をかけすぎないことが大切です。長期的に繰り返し見直していくことが不可欠です。

ステップ2: 貴社の中で、ソフトウェアがどこでどのように作られているかを把握する

恐らく、シフトレフト セキュリティの実現を目指す取り組みの中で最も手ごわい課題の一つは、貴社の中で、ソフトウェアがどこでどのように作られているかを把握することでしょう。貴社の規模に応じて、このタスクは簡単な場合もあれば、困難を極める場合もあります。

本ステップの目標は、最初に組織全体を見渡した後で、社内でソフトウェアを扱う全体的な流れを文書化することです。中～大規模の企業では、マクロ レベルからスタートし、次に個別の事業部門へと掘り下げていくのがよいでしょう。各事業部門で独自のソフトウェア開発プロセスやツールを持っている可能性が非常に高いと言えます。このフェーズで特定するべき主要な項目としては、誰がコードを開発するか(人)、開発用のラップトップから本番環境へどのように流れるか(プロセス)、そしてこのプロセスを実現するためにどのシステムを利用するか(テクノロジ)が挙げられます。これは「CI/CDツールチェーン」と呼ばれることもあります。昨今では間違いなく、ソフトウェア開発の大部分が、パブリック クラウドで行われているでしょう。

ステップ3: セキュリティの質と防壁を特定し、実装する

品質保証は、ソフトウェア開発ライフサイクルの一部であり続けてきました。しかし今まで、ソフトウェアの質には、セキュリティは含まれていませんでした。この点は変えていかなければいけません。そして、上記のステップを踏んでいれば、これに取り組むための準備ができているはずです。ソフトウェア開発の各ステップは、フィードバックを提供し、セキュリティ問題を探すための機会でもあります。有能なセキュリティ チームは、小さく始めるものです。まずシンプルかつ効果的なツールを開発チームに提供し、日常的な開発ルーチンの一部として使ってもらうことから開始します。このようなツールの一つが、最近、パロアルトネットワークスによってオープンソース化されました。つまり、無償で使えるということです。

ステップ4: セキュアなコーディングを可能にするため、開発チームを査定し、継続的にトレーニングする

シフトレフト セキュリティ戦略に移行するジャーニーの一環として、第一に、コーディングの大部分を行う担当者が、セキュアなコードを作るようにしなければなりません。担当者の現在のスキルを評価する客観的な測定基準や、スキルを長期的かつ継続的に向上させる計画がなければ、これを実現するのは困難です。ある調査によると、開発者の19%は、「OWASP Top 10のことをよく知らない」とのことで、この領域を見逃すべきではありません。これを裏付けたのが、DevOpsサービス プロバイダのGitLabが最近発表した調査です。同調査によると、プログラマーの70%はセキュアなコードを書くことが期待されていますが、自社のセキュリティ プラクティスが「良い」と考えているプログラマーは25%にとどまりました。

シフトレフト セキュリティの概要

開発を構築、展開、実行のフェーズに簡素化した2つのシナリオを見ていきましょう。シナリオ1では、セキュリティ無しに開発が始まります。ソフトウェアの質は、ランタイムの最中にのみチェックされます。このケースでは、通常、脆弱性が見つかった場合、結果的にセキュリティ部門と開発部門の間で不穏な会話が交わされることになります。

しかしシナリオ2では、セキュリティ チームは、自組織内で開発プロセスについて理解することに時間をかけます。また、セキュリティ プロセスおよびツールをCI/CDに組み込む作業も行うため、結果としてセキュリティの質に関する防壁を自動化できます。

結論

上記の4つのステップを実施すれば、シフトレフト セキュリティを実現するだけでなく、セキュリティと開発を統合するために、確実な道を歩むことができます。貴社がクラウド ジャーニーの一環としてシフトレフトに移行する際は、セキュリティ制御を自動化し、API駆動型にすることが重要です。セキュリティ チームは、パロアルトネットワークスのPrismaを利用すれば、DevOpsとCI/CDパイプラインのセキュリティを確保し、まさに上記を実現することができます。