Security and Compliance Center を DevSecOps ツールチェーンと統合した後の結果について
IBM Cloud® Security and Compliance Centerを使用して、脆弱性を検出するためのセキュリティーとコンプライアンスの状況の評価を自動化できます。 DevSecOps テンプレートを使用して Security and Compliance Center 統合を有効にすることで、エビデンスを保管し、デプロイメントのコンプライアンスをモニターすることができます。
継続的統合 (CI) パイプラインの実行ごとにエビデンスが作成されます。 エビデンスには、実行された操作の詳細が含まれ、 Git リポジトリーまたは Object Storage バケット (エビデンス・ロッカーと呼ばれる) に保存されます。 デフォルトでは Git リポジトリーが使用されますが、証拠の耐久性を高める必要がある場合 (例えば、存続期間を長くする必要がある場合) は、 Object Storage バケットを構成できます。 同様に、 Continuous Delivery (CD) パイプラインは、受け入れテストや変更要求などに関連して実行されたタスクの監査証跡を提供する証拠を収集します。 最も重要な点として、継続的コンプライアンス (CC) パイプラインは、デプロイメントの完了時に、個々のエビデンス・フラグメントのすべてをエビデンス・サマリーに集約します。 パイプライン・データに対して検証テストを実行すると、アプリケーション・デプロイメント・プロセスの一部としてさまざまなベスト・プラクティスが実行されていることを確認できます。
開始前に
Security and Compliance Center によって生成された結果を表示して、以下の前提条件を満たしていることを確認します。
- Security and Compliance Centerの結果を表示して対話するために必要なアクセス・レベル。 結果を表示するには、 Security and Compliance Center サービスに対する リーダー 権限が必要です。
- 構成済みのパイプライン。 Security and Compliance Centerと連携するようにパイプラインを構成する方法については、 Security and Compliance Center を参照してください。
結果の表示
コンプライアンス評価の結果を表示するには、 Security and Compliance Center ダッシュボード を参照してください。

DevSecOps パイプラインが Security and Compliance Centerと対話する場合、情報は 2 つの異なる方法で収集されます。 Security and Compliance Center は、それに応じて情報をダッシュボードにプッシュまたはプルします。
データ・モデルのプル
: CI/CD パイプラインが実行されると、 エビデンス・サマリー が作成され、 summary.json
という名前が付けられます。 このエビデンス要約は、エビデンス・ロッカーまたはリポジトリーに転送されます。 要約内の各項目は、 Security and Compliance
Center内のコントロールにマップされます。
図 2. CD エビデンス要約タスク - 添付ファイルが Security and Compliance Centerで作成されたときに設定されたスケジュールに基づいて、サービスは、結果を評価して Security and Compliance Center UI に表示するために、ロッカーから情報の要約をプルします。

- データ・モデルのプッシュ
- 有効な統合を持つ CD/CC パイプラインが実行されるたびに、エビデンス要約が生成され、 Security and Compliance Center サービスに転送されます。 サービスは評価され、 Security and Compliance Center ダッシュボードに表示されます。 \n ダッシュボードで、結果を表示する対象のプロファイルをクリックします。 次に、 「リソース」 タブを選択します。 そこで 「追加の詳細」 をクリックすると、サポート資料の入手先などの詳細情報が表示されます。 例えば、
pipeline-run evidence summary
、toolchain
、pipeline-run
、またはdevsec-scc-doc
へのリンクが表示される場合があります。

情報の各部分がコントロールに対して回避され、状況が提供されます。 コントロールごとに、 「準拠」 または 「非準拠」 のいずれかのマークが付けられます。 個々のリソースの場合、エビデンス・フラグメントが制御資格を満たしているかどうかに応じて、状況は 「合格」 または 「不合格」 になります。 また、 「実行できません」 と表示される場合もあります。 この状況は、評価が試行されたものの、評価対象の対応するエビデンスが存在しない場合に返される可能性があります。CI パイプラインでタスクが削除またはスキップされたか、 CD EMERGENCY
を使用してエビデンスの失敗をオーバーライドすることによってデプロイメントが実行された可能性があります。
コントロール・ダッシュボードの例:

リソース・ダッシュボードの例:

検証が不完全なイメージをデプロイすることは可能ですが、それらのイメージは Security and Compliance Centerで検査時に報告されます。
次のステップ
Security and Compliance Centerでツールチェーンを探索するために、 Security and Compliance Center 資料 で スコープの管理 について学習できます。