Zensai セキ ュア開発ライフサイクル(SDLC)は、Microsoft のセキュリティ開発ライフサイクルプラクティスに着想を得ており、Zensai 開発者がより安全なソフトウェアを構築することをサポートする一連のプラクティスで構成されています。このプラクティスは、ソフトウェアの脆弱性の数や深刻度を軽減し、それにより弊社のプラットフォームがコンプライアンス要件を満たし、製品の開発プロセスにセキュリティが組み込まれていることをお客様やパートナーに保証することができます。
ここでは、Zensai の SDLC における一連のプラクティスについてご説明します。
- セキュア コード トレーニング
- セキュリティ品質の基準とレポート
- サードパーティコンポーネントのセキュリティとライセンスリスクの管理
- 静的分析セキュリティテスト(SAST)
- 動的分析セキュリティテスト(DAST)
- 侵入テスト
- 品質保証
- フレーム ワークのセキュリティ コントロール
- 環境の分離
セキュア コード トレーニング
Zensai プラットフォームを構築する人々は、セキュリティの基本を理解し、攻撃者からの侵入を防ぎ、より安全な製品を作成するために、ソフトウェアにセキュリティを組み込む方法を熟知していることが重要です。
Zensai のソフトウェアエンジニアは、少なくとも1年1回、OWASP(Open Web Application Security Project)セキュリティ リスク トップ10 、一般的な攻撃経路、および Azure のセキュリティコントロールについて学ぶセキュア コード トレーニングに参加しています。
セキュリティ品質の基準とレポート
Zensai プラットフォームでは、セキュリティ品質のレベルを定義して、セキュリティ品質の最低許容レベルの標準を設定し、セキュリティ脆弱性の重要度が異なる場合にどのように対応すべきかを明確にルーチン化しています。
これにより、チームはセキュリティの問題を正確かつ適切なタイミングで特定して対処し、すべての開発フェーズを通じて一貫して高いセキュリティ品質を提供することができます。
セキュリティ上の不備やセキュリティ作業項目は登録され、明確にラベル付けされるため、セキュリティに関連する作業を確実に追跡し、報告することができます。
サードパーティコンポーネントのセキュリティとライセンスリスクの管理
サードパーティのコンポーネントの脆弱性は、そのコンポーネントが統合されている大規模なシステムのセキュリティに影響を及ぼす可能性があります。
Zensai は、採用されているサードパーティコンポーネントの正確な目録を持っています。
既知の脆弱性に対するオープンソースの依存関係が検出され、脆弱性を回避するために必要な場合には、サードパーティ ライブラリの更新された推奨事項が提供されます。
静的分析セキュリティテスト(SAST)
セキュアコーディングポリシーが守られていることを確認するため、ソースコードはコンパイル前に、統合開発環境(IDE)の Visual Studio と、Zensai 開発チームが使用する Azure DevOps ビルドパイプライン内で直接スキャンされ、分析されます。
自動化されたフィードバックを提供し、既知のセキュリティ脆弱性が Zensai 環境に追加されるのを防ぎます。これは、セキュリティコードレビューのスケーラブルな方法であり、早い段階で欠陥を発見するのに役立ちます。
動的分析セキュリティテスト(DAST)
Zensai ソフトウェアのリリースサイクルの一環として、パッケージソフトウェア、構成、設定に対する自動的な侵入検査と連続したスキャニングを定期的に実行し、すべてのコードが統合され実行されているときのセキュリティをテストします。
テストエンジンは、ハッカーの行動やサイバーセキュリティの傾向を常に把握し、新たな潜在的リスクを特定します。
侵入テスト
侵入テストでは、熟練したセキュリティ専門家がハッカーの行動をシミュレートし、潜在的に悪用可能な脆弱性を見つけ出します。
Zensai アプリケーションとその基盤となるWeb アプリケーションに対して、自動および手動による侵入テストを実施し、Zensai 製品に脆弱性を引き起こす可能性のあるコーディングエラー、設定上の欠陥、その他の弱点を洗い出します。
品質保証
弊社では、品質保証(QA)部門がコードベースのレビューとテストを行っています。専任のアプリケーション セキュリティ エンジニアが、コード内のセキュリティの脆弱性を特定、テスト、選別します。
フレーム ワークのセキュリティ コントロール
Zensai は、最新の Microsoft .NET Core open-source framework を活用し、OWASP セキュリティ リスク トップ10 に晒されることを抑えるために、適切なセキュリティ コントロールを行っています。
これらの固有のコントロールによって、SQLインジェクション(SQLi)、クロスサイト・スクリプティング(XSS)、クロスサイト・リクエスト・フォージェリ(CSRF)などに晒されるリスクを低減しています。
環境の分離
開発環境、テスト環境、ステージング環境は、Zensai の本番(製品)環境から論理的に分離されています。
開発環境とテスト環境では、お客様のいかなるデータも一切使用されておりません。