Dynatraceは最近、ソフトウェアインテリジェンスプラットフォームで「セキュリティゲート」が利用可能になったことを発表した。組織は、Dynatraceアプリケーションセキュリティゲートを使って、ソフトウェア開発ライフサイクルの早い段階でセキュリティの脆弱性をチェックし、必要な修復アクションをトリガーできるようになった。
自動リリースプロセス中の継続的なフィードバックは重要である。Dynatrace Application Securityは、DynatraceのCloud Automationと組み合わせて、ソフトウェア品質分析を自動化することを目的としている。それによって、複数のダッシュボードからのデータを比較して、ビルドが必要な品質基準を満たしているかどうかを判断できる。Dynatraceは、AIと自動化機能により、サービスレベルインジケーターを組織のサービスレベル目標(SLO)と比較できるため、本番前の環境から本番環境まで安全なコードをプロモートできると述べている。
出典 - Dynatraceブログ
Dynatraceの創設者兼CTOのBernd Greifeneder氏は、2022年の主要なトレンドについて、次のように述べている。「今後12か月以内に、組織がDevSecOps自動化に対してよりスマートなアプローチを採用するようになるでしょう。組織は、後付けで手動で追加するのではなく、配信パイプラインに自動化を組み込むことを可能にするプラットフォームとソリューションを、今後ますます探すでしょう。」さらに、Dynatraceの2021 CISOレポートによると、最高情報セキュリティ責任者(CISO)の28%が、アプリケーションチームがソフトウェア配信を高速化するために脆弱性スキャンをバイパスすることがあることを指摘している。
2021年12月初旬、人気のあるJavaロギングライブラリであるlog4jでゼロデイ脆弱性が発見された。このようなエクスプロイトに対処する場合、静的セキュリティスキャンを使うと、脆弱性はビルドの実行後にのみ特定される可能性があり、すでにデプロイされているリリースバージョンでは検出されないままとなってします。セキュリティチェックを備えたDynatrace Cloud Automationでは、データへの露出とアクセスのリスクを自動的に評価し、誤検知を回避し、即座に対応できるように脆弱性に優先順位を付けを行う。
Dynatraceを使ったセキュリティと共に自動リリースを強化するには、ユーザは、Dynatraceセキュリティメトリックの1つをリリース検証ダッシュボードに追加する必要がある。これらのメトリックは事前のセットアップなく使用できる。たとえば、リリース内の新しい重大なリスクの脆弱性を制限するために、重大なリスクレベルのディメンションと1以上のエラー基準でフィルタ設定されたメトリックOpen Security Problems(管理ゾーンで分割)をダッシュボードチャートに追加できる。Dynatrace Cloud Automation品質ゲートは、リリース検証スコアリングの一部として、重大なリスクの脆弱性の数を検証する。以下に示すように、ユーザはそれぞれのSLOに基づいて複数のセキュリティメトリックを追加できる。
出典 - Dynatraceブログ
最近になって、オープンソースコミュニティがますますShift-Leftしているのを目の当たりにしている。Open Source Security Foundation(OpenSSF)は最近、オープンソースソフトウェア(OSS)プロジェクトのセキュリティを向上させることを目的としたAlpha-Omegaプロジェクトを発表した。GoogleとGitHubは、OpenSSFスコアカードプロジェクトのバージョン4リリースも発表した。
Dynatrace Cloud Automationは現在、SaaSインスタンスとして、すべてのDynatraceマネージドおよびSaaSの顧客に対して提供可能である。興味のある読者は、Dynatraceドキュメントで詳細を確認し、コミュニティに繋がることもできる。