こんにちは。
株式会社ラクスで先行技術検証をしたり、ビジネス部門向けに技術情報を提供する取り組みを行っている「技術推進課」という部署に所属している鈴木(@moomooya)です。
ラクスの開発部ではこれまで社内で利用していなかった技術要素を自社の開発に適合するか検証し、ビジネス要求に対して迅速に応えられるようにそなえる 「技術推進プロジェクト」というプロジェクトがあります。
このプロジェクトで過去に検証した「継続的アプリケーションセキュリティ」について共有しようかと思います。
- 課題の経緯、前提条件
- 課題の経緯
- 期待する導入成果
- シフトレフトや、脆弱性診断ツールに関する概念
- 前提条件
- 実現手法
- SASTとIASTの特徴
- 共通の特徴
- SAST
- IAST
- SAST/IASTを導入したらDASTが不要になるか
- どこまでコストをかけられるか
- SASTとIASTの特徴
- ツール所感 → 今後に向けて
- SAST/IASTツールの製品傾向
- SCMサービスに付随するサービス GitHub Code Scanner
- 調査の中で分かった導入に向けたハードル
- 最後に