安全なソフトウェアデリバリーを加速する「Harness Security Testing Orchestration Module」の一般提供を開始

エンドユーザーの貴重なご意見をいくつかの主要な新機能に反映させ、このたび、Harness Security Testing Orchestrationモジュールの正式公開（General Availability）を発表します。

本年３月にHarness STOモジュールのパブリックプレビューを発表して以来、いかに現在のソフトウェアデリバリーとアプリケーションセキュリティーを損なうことなくHarness STOを使用して速度とセキュリティーを向上させているか、エンドユーザーの皆様から貴重な洞察をいただいております。このようなエンドユーザーからの貴重なご意見をもとに、Harness STOモジュールの正式（General Availability）版を発表することになりました。

これらのSTOの新機能は、ソフトウェアデリバリープロセス全体のセキュリティーを向上させ、脆弱性を減らし、イノベーションの速度を高めることで、より迅速に顧客にビジネス価値を提供します。

ここでは、これらの新機能と、それがエンジニアの組織に提供する機能について説明します。 

Harness CDとスタンドアロンパイプライン内のスキャナーをオーケストレーション

Harness STOは、複数のオープンソースおよび商用のセキュリティースキャナーを統合し、安全なパイプライン開発とセキュリティーテストを実現します。アプリケーションセキュリティースキャナーをソフトウェアデリバリー全体にオーケストレーションし、スキャナーの出力を処理することで、アプリケーションセキュリティーの強化とデリバリー速度の高速化を両立します。任意のCI/CDツールと統合して、STOはHarness CI/CDと併用するか、スタンドアロンモードで使用するよう設定できます。

開発者とセキュリティーの間でセキュリティー適用除外レビューを実施

セキュリティーテストで特定されたセキュリティー脆弱性は、重要であることが多いものの、常に対処可能であるとは限りません。あるシナリオでは、特定の開発環境や製品範囲に適用できない可能性もあります。場合によっては、セキュリティー問題を直ちに解決するのはさらに複雑ですが、追加的な計画によって修復するのがより現実的であることもあります。これらの理由から、セキュリティーの適用除外は、安全なソフトウェア開発ライフサイクルの重要な一部です。セキュリティーに関係するステークホルダーは、Harness STOを通じて、ソフトウェア開発のさまざまな段階でセキュリティースキャンによって特定された脆弱性や問題について、適用除外を許可し、管理することができます。

包括的なダッシュボードとレポーティング 

STOダッシュボードは、複数のセキュリティースキャナーの出力を集約するための一元的な情報源であり、組織内の役割に応じてカスタマイズ可能なビューを提供します。特定の組織のニーズに対応するよう整えられたダッシュボードのビューは、セキュリティー担当者と開発者が協力してコードの脆弱性に優先順位を付け、修正し、対処するための共通の場所を提供します。

オープンポリシーエージェント（OPA）に基づくガバナンスポリシー 

Harness STOは、Open Policy Agent（OPA）標準に基づくカスタマイズ可能なポリシーにより、CI/CDパイプラインの一部として、ガバナンス構成のカスタマイズと要件の適用を可能にします。これにより、組織全体の必要に応じてガバナンスポリシーを柔軟に定義し、デプロイするコードを組織固有のセキュリティー標準に適合させられます。

ロールベースアクセス制御、監査証跡、エンタープライズプラットフォーム機能のインテグレーション 

監査証跡は、セキュリティー管理者や監査役が不審な行動を調査したり、問題の診断やトラブルシューティングを行うための貴重なリソースとなります。Harnessは、エンタープライズ級の詳細な監査証跡を提供し、技術チームが数日ではなく数分で監査内容を確認し、評定できるようにします。Harnessのきめ細かいロールベースアクセス制御（RBAC）は、システムへのアクセスを正規のユーザーに制限し、管理者がビジネス特有の要件に応じた権限を導入できるようにします。Harness STOはスタンドアロンのモジュールとしても有効ですが、Harness CI/CDと組み合わせることでさらに強力になり、パイプラインへのネイティブな統合が可能になります。

ソフトウェア提供の全プロセスにおけるセキュリティー 

Harness STOは、CI/CDパイプラインにDevSecOpsの原則を導入し、ソフトウェアの速度向上を高度なセキュリティーとともに実現するための新たなアプローチを提供します。開発チームとセキュリティーチームを強化するためには、自動化とインテリジェントな処理の組み合わせが最も重要です。

開発チームは、アプリケーションセキュリティースキャナーの出力を早期に分析して、セキュリティー脆弱性を修復できるようになり、ソフトウェアアプリケーションの安全なデリバリーを確保しながら、リリース速度を向上させる取り組みを支援できるようになりました。Harness STOは、セキュリティースキャナーと同一視することはできませんが、主要なアプリケーションセキュリティースキャナーと統合するオーケストレーションソリューションです。CI/CDパイプラインが実行されると、これら全てのスキャナーからのデータが正規化、重複排除、相関化され、その結果、エンジニアリングチームが直ちに解決できるよう優先順位を付けた脆弱性リストが作成されます。

さらに、Harness STOは、ガバナンスの設定をカスタマイズし、ポリシーと手順を満たす一貫したプロセスを確立します。これにより、コンプライアンスチームは、セキュリティー脆弱性の種類と関連するリスクをよりよく理解し、コンプライアンス標準とポリシーの徹底を図ることができます。Harness STOの導入により、企業はセキュリティーリスクを低減すると同時に、時間のかかる再作業を減らし、生産性、全体的な業務効率、ビジネス価値を向上させることが可能になります。

主な使用例 

Harness STOは、ソフトウェア開発者、DevOpsチーム、DevSecOpsエンジニア、アプリケーションセキュリティーテストチームが、デプロイ速度を加速し、手戻りを最小限に抑えながら、高い安全性のあるコードを提供することを目指す、価値あるツールです。STOは、さまざまな方法で強力な機能を使用することができます。 これには以下が含まれます。

ソフトウェア開発プロセスにおけるセキュリティーテスト 

Harness STOは、アプリケーションのセキュリティー問題を確実に特定し、優先順位をつけて、即座に修正することができます。シフトレフトすることで、セキュリティー脆弱性を開発サイクルのかなり早い段階で発見できるようになり、さまざまなステークホルダーがソフトウェア提供プロセス全体を通じてテストのオーケストレーションを行えるようになります。

開発者ファーストの修復

STOのインテリジェントなスキャナー分析エンジンは、開発者が新規および既存の脆弱性を分類し、複数のセキュリティースキャナーで分析・重複排除し、改善の優先順位付けを行うことを支援します。これにより、これらの問題を早期に発見し修正することで、企業は数え切れないほどの時間と費用を節約することができます。

ガバナンス、ダッシュボード、レポート 

Harness STOは、開発者チーム、セキュリティーチーム、経営管理チーム向けにカスタマイズ可能な集中コンソールを備えています。企業向けダッシュボードとレポートにより、アプリケーションのセキュリティーリスクを役割別に把握することができます。

主な機能

Harness STOは、Harness CIおよびCDモジュールとシームレスに連携し、統合プラットフォームとして、非常に価値の高い全体的なソリューションを実現します。Harness STOはスタンドアロンモジュールとして提供され、SaaS、オンプレミス、ハイブリッドの展開モデルをサポートします。

セキュリティーテストの自動化

アプリケーションセキュリティーテストパイプラインの作成と実行が可能なため、企業はCI/CDパイプラインからHarness STOを起動し、スキャナーの結果を一元化して分析することで恩恵を得ることができます。

設定可能なガバナンス

Harness STOは、OPA（Open Policy Agent）に基づくガバナンスを内蔵しており、組織全体の必要に応じて柔軟にポリシーを定義することができます。また、どのスキャナーをどの段階で実行するか、何をもって合格とするか、何をもって不合格とするかを定義し、必要に応じてポリシーを変更することが可能です。

エンタープライズダッシュボードとレポート

組織内のさまざまな役割に応じて、カスタマイズされたビューを作成することができます。Harness STOでは、管理者やセキュリティー管理者が、ユーザーグループやツールにまたがってデータを統合できるアプリケーションセキュリティーレポートを作成できます。

エンタープライズグレードの監査証跡とRBAC

Harness STOは、詳細な監査証跡を提供し、企業がコンプライアンスやITポリシーの要件を満たせるよう支援します。また、実用的な監査情報を提供することで、より良いセキュリティーガバナンスを促進します。これにより、通常であれば何日もかけて作成するものが、わずか数時間で作成できるようになります。RBACモデルは、組織固有の要件を満たすために、ロールベースの権限システムによる実装を可能にします。

Harness CIにおける静的テスト

静的アプリケーションセキュリティーテスト（SAST）とソフトウェア構成分析（SCA）は、通常、ビルドとテストの段階で、アプリケーションのコードを分析するために使用されます。Harness STOは、SASTとSCAを既存のCIパイプラインに簡単に統合することができます。

Harness CDにおける静的または動的テスト

デプロイについては、CIと同様に、CDステージを使用してHarnessのセキュリティーテストパイプラインを呼び出し、集中分析エンジンのデータを取得することができます。

優先度付けされ、切り分けられた脆弱性リスト

Harness STOのインテリジェントなスキャナー分析エンジンは、エンジニアリングチームの作業負荷を大幅に軽減します。サポートされている全てのセキュリティースキャナーから異なる出力を収集し、正規化、重複排除、関連付けを行い、修正すべき脆弱性の優先順位を付けたリストを作成することができます。

エコシステムの統合

STOは最も一般的なアプリケーションセキュリティースキャナーと統合されています。

Harness STOモジュールの詳細はこちら

Harness STOが実際に動いているところにご興味のある方は、今すぐ個別デモをご予約ください。

この記事はHarness社のウェブサイトで公開されているものをDigital Stacksが日本語に訳したものです。無断複製を禁じます。原文はこちらです。