SEC11-BP02 開発およびリリースライフサイクル全体を通じてテストを自動化する - セキュリティの柱

SEC11-BP02 開発およびリリースライフサイクル全体を通じてテストを自動化する

開発およびリリースライフサイクル全体を通じて、セキュリティ特性のテストを自動化します。自動化により、リリース前にソフトウェアの潜在的な問題を一貫して繰り返し特定することが容易になります。これにより、提供されるソフトウェアのセキュリティ問題のリスクが低減されます。

期待される成果: 自動テストの目的は、開発ライフサイクルを通じて潜在的な問題を早期に、かつ頻繁にプログラムで検出する方法を提供することです。リグレッションテストを自動化すると、テスト済みのソフトウェアに変更を加えた後も、そのソフトウェアが期待どおりに動作することを確認するための機能テストおよび非機能テストを実行できます。機能していない認証、または不足している認証など、一般的な設定ミスをチェックするためのセキュリティユニットテストを定義すると、開発プロセスの初期にこれらの問題を特定し、修正できます。

テストの自動化では、アプリケーションの要件と目的とする機能性に基づいた、アプリケーション検証の目的別テストケースを使用します。自動化テストの結果は、生成されたテスト結果とそれぞれの目的とする成果の比較に基づいており、テストのライフサイクル全体を迅速化します。リグレッションテストやユニットテストスイートなどのテスト手法は、自動化に最適です。セキュリティ特性のテストを自動化することで、ビルダーはセキュリティレビューを待つことなく、自動化されたフィードバックを取得することができます。静的または動的なコード分析形式の自動化テストは、コード品質を改善し、開発ライフサイクルの初期における潜在的なソフトウェアの問題の検出に役立ちます。

一般的なアンチパターン:

  • 自動化テストのテストケースおよび結果のコミュニケーションが欠如している。

  • リリース直前にのみ自動化テストを実施する。

  • 自動化テストケースの要件を頻繁に変更する。

  • セキュリティテストの結果の対処方法に関するガイダンスが欠如している。

このベストプラクティスを活用するメリット:

  • システムのセキュリティ特性を評価するチームへの依存が低減します。

  • 複数のワークストリームにわたる一貫した検出結果により、一貫性が向上します。

  • 本稼働ソフトウェアでセキュリティ問題が発生する可能性が低減されます。

  • ソフトウェアの問題を早期に検出することで、検出から修正までの時間が短縮されます。

  • システム的な動作、または複数のワークストリームにわたって繰り返される動作の可視性が向上し、組織全体で改善が促進されます。

このベストプラクティスを活用しない場合のリスクレベル:

実装のガイダンス

ソフトウェアを構築する際は、アプリケーションのビジネスロジックに基づいた機能性要件と、アプリケーションの信頼性、パフォーマンス、セキュリティに重点を置いた非機能性要件の両方をテストする、ソフトウェアテストのさまざまなメカニズムを採用します。

静的アプリケーションセキュリティテスト (SAST) は、ソースコードの異常なセキュリティパターンを分析し、欠陥が発生しやすいコードを検出します。SAST はさまざまな既知のセキュリティ問題のテストにおいて、ドキュメント (要件仕様、設計文書、設計仕様) やアプリケーションのソースコードなどの静的なインプットに依存します。静的コードアナライザーは、大規模なコードの迅速な分析に役立ちます。NIST Quality Group は、Source Code Security Analyzer の比較を提供します。これには、Byte Code ScannerBinary Code Scanner 用のオープンソースツールが含まれています。

潜在的な想定外の動作を識別するために、実行中のアプリケーションでテストを実施する、動的分析セキュリティテスト (DAST) 手法によって静的テストを補完します。動的テストは、静的分析では検出できない潜在的な問題の検出に使用できます。コードリポジトリ、ビルド、パイプラインステージでテストを実施することで、コード内にあるさまざまな種類の潜在的な問題をチェックできます。Amazon CodeWhisperer は、ビルダーの IDE で、セキュリティスキャンなどのコードレコメンデーションを提供します。Amazon CodeGuru Reviewer は、アプリケーション開発中の重大な問題、セキュリティ問題、見つけにくいバグを特定し、コード品質を向上させるためのレコメンデーションを提供します。

Security for Developers ワークショップでは、AWS CodeBuildAWS CodeCommitAWS CodePipeline などの AWS 開発者ツールを使用して、SAST および DAST テスト手法を含むリリースパイプラインの自動化を行います。

SDLC を進める中で、セキュリティチームと共に定期的なアプリケーションレビューを含む反復プロセスを確立します。リリース準備レビューの一環として、これらのセキュリティレビューで得たフィードバックに対処し、検証します。これらのレビューにより、アプリケーションの堅固なセキュリティを確立し、潜在的な問題に対処するための実行可能なフィードバックをビルダーに提供できます。

実装手順

  • セキュリティテストを含む、一貫した IDE、コードレビュー、CI/CD ツールを実装します。

  • 修正が必要な問題を単にビルダーに伝えるのではなく、SDLC のどこでパイプラインをブロックするのが適切かを考慮します。

  • Security for Developers ワークショップでは、静的テストと動的テストをリリースパイプラインに統合する例を示します。

  • 開発者 IDE と統合された Amazon CodeWhisperer や、コミット時にコードをスキャンするための Amazon CodeGuru Reviewer などの自動ツールを使用してテストまたはコード分析を実行すると、ビルダーは適切なタイミングでフィードバックを得ることができます。

  • AWS Lambda を使用して構築する場合は、Amazon Inspector を使用して関数内のアプリケーションコードをスキャンできます。

  • 自動化テストを CI/CD パイプラインに含める際は、ソフトウェアの問題の通知と修正を追跡するチケットシステムを使用します。

  • 検出結果を生成するセキュリティテストでは、修正のガイダンスをリンクすることで、ビルダーのコード品質改善を支援します。

  • 自動化ツールからの検出結果を定期的に分析し、次の自動化、ビルダートレーニング、啓発活動の優先順位付けに役立てます。

リソース

関連ドキュメント:

関連動画:

関連する例: