Harness Security Testing Orchestration（STO）の主要機能

ここでは、セキュリティーテストの自動化、優先順位付けされた脆弱性リストなど、STOの主要機能を深く掘り下げてみましょう。
 

Harness STOは、開発者とDevSecOpsのために作られました。このモジュールは、シフトレフトセキュリティーをより身近なものにするために設計されています。これは、セキュリティースキャナーそのものではなく、セキュリティーテストオーケストレーションソリューションです。その意味を正確に理解し、社内の摩擦を減らしながらより安全なソフトウェアを構築するために、STOがどのようにビジネスに役立つかを見てみましょう。

Harness STOは、40以上の一般的なセキュリティースキャナーと統合し、CI/CDパイプラインに組み込まれた自動化ステップや、APIコール経由で呼び出されるスキャナーパイプラインを通じて、その実行をオーケストレーションします。

エンジニアリングとDevSecOpsが連携し、アプリケーションセキュリティーテストの手順をCI/CDテンプレートに組み込みます。スキャナーステップの実行を強制するためのポリシーが設定され、例外のオーバーライドが定義されます。

CI/CDパイプラインが実行されると、全てのスキャナーからのデータが正規化、重複排除、相関化され、優先順位付けされた脆弱性リストが作成され、エンジニアリングが直接利用できるようになります。DevSecOps、AppSec、その他必要な人が直接利用できるようになります。エンジニアリングチームは、ソフトウェアデリバリーライフサイクルのビルドとテストのフェーズで作業しながら、リアルタイムでこれらの脆弱性を修正することができます。

STOが提供する機能は、プロアクティブなアプリケーションセキュリティーテストアプローチを可能にし、脆弱性が本番環境に侵入するリスクを低減し、修復のための再作業に伴うエンジニアリングの労力を大幅に軽減します。

主な機能

セキュリティーテストの自動化

Harness STOは、アプリケーションセキュリティーテストのパイプラインを作成・実行する機能を提供します。Harness CI/CDはもちろん他のCI/CDソリューションを使っている場合でも、CI/CDパイプライン内からHarness STOを呼び出し、一元的に分析されたスキャナーの結果を利用することができます。Harness STOが実行する解析の詳細については、次のセクションを参照してください。

優先順位付けと削除された脆弱性リスト

Harness STOのインテリジェントなスキャナー解析エンジンは、エンジニアリングチームの作業負荷を大幅に軽減します。サポートされている全てのセキュリティースキャナーから異なる出力を収集し、正規化、重複排除、関連付けを行い、修正すべき脆弱性の優先順位を付けたリストを作成します。このリストは、ソフトウェアライブラリーのどのバージョンに脆弱性が含まれているかをエンジニアリングチームが理解するためのデータで強化されており、修正に適したバージョンを容易に選択できるようになっています。Harness STOは、全てのアプリケーションセキュリティー脆弱性についての信頼できる中心的な情報源となります。

CIにおける静的テスト

SAST（静的アプリケーションセキュリティーテスト）とSCA（ソフトウェア構成分析）は、通常、開発、ビルド、テストの各フェーズで、アプリケーションのコードを分析するために使用されます。Harness STOは、SASTとSCAを既存のCIパイプラインに簡単に統合できます。CIステップを使用してHarnessセキュリティーテストパイプラインを呼び出し、必要なセキュリティースキャナーを全て実行し、合格／不合格の情報を応答させることができます。もちろん、スキャナーの結果は自動的に分析され、エンジニアリングチームが修復プロセスを開始できるようにHarness STO UIで利用できます。

CDでの静的／動的テスト

新しいアーティファクトをデプロイする段階では、おそらくもっとSASTスキャナーを実行したいと思うでしょうし、さらにDAST（動的アプリケーションセキュリティーテスト）スキャナーも実行したいのではないでしょうか。ご心配なく。CIと同様に、CDステージを使用してHarnessのセキュリティーテストパイプラインを呼び出し、集中分析エンジンの優れた機能を利用することができます。

構成可能なガバナンス

全ての組織は、アプリケーションセキュリティーテストプロセスをビジネスに合わせて拡張する必要があります。そうでなければ、一貫性のない実装になり、セキュリティー侵害やブランド・評判の低下のリスクにさらされることになります。Harness STOは、OPA（Open Policy Agent）を用いたガバナンスを内蔵しており、組織全体の必要に応じてポリシーを柔軟に定義することが可能です。どのスキャナーをどの段階で実行する必要があるか、そのスキャナーの合格・不合格は何であるかを簡単に定義でき、必要に応じてこれらのポリシーを変更することが可能です。

エンタープライズダッシュボードとレポート

ダッシュボードとレポートに関しては、組織内のさまざまな役割によって、異なるビューが要求されます。経営幹部は１つのダッシュボードでハイレベルなリスク評価を求めるかもしれませんし、エンジニアリングマネージャーはチームが取り組んでいる全てのサービスの脆弱性ステータスを確認したいと思うかもしれません。どのようなケースであっても、Harness STOは、セキュリティースキャナーベースの情報の一元化に必要な全てのセキュリティースキャナーデータとレポート作成機能を備えています。

エンタープライズグレードの監査証跡とRBAC

Harnessは、非常に詳細な監査証跡ときめ細かいRBACを備えていることで、CI/CD業界において高い評価を得ています。これらの監査証跡により、エンジニアリングチームは迅速かつ容易に監査に合格でき、多くの場合、何日もかかる作業をわずか数時間に短縮することができます。きめ細かいRBACモデルは、どんなに複雑な組織でも、そのニーズに合った権限システムを導入できることを意味します。

エコシステムの統合

Harness STOは、現在利用可能な最も一般的な40以上のアプリケーションセキュリティースキャナーと統合されています。このリストは今後数カ月の間に大幅に拡張される予定ですが、現在お使いのものはすでにサポートされている可能性が高いのです。

STOデモ

Harness STOの仕組みがわかる６分間のデモビデオを作成しました。

6:2

Harness STOのWebページでは、解説動画や分かりやすい図解をご覧いただけます。

この記事はHarness社のウェブサイトで公開されているものをDigital Stacksが日本語に訳したものです。無断複製を禁じます。原文はこちらです。