IBM Cloud Docs
DevSecOps を使用したセキュアなソフトウェア・サプライ・チェーンの構築

DevSecOps を使用したセキュアなソフトウェア・サプライ・チェーンの構築

IBM Cloud®で使用可能な DevSecOpsソフトウェアの開発と運用のライフサイクルにセキュリティー・プラクティスを統合する方法論。 この組み合わせの目的は、開発速度とセキュリティーのバランスに優先順位を付けることにあります。 ツールおよびサービスを使用して、アプリケーション・コードの開発およびデプロイに、検証済みのセキュアなソフトウェア・サプライ・チェーンを使用することができます。 アジャイル開発プラクティスには迅速なアプリケーション・デプロイメントが必要ですが、同時にアプリケーションを確実に保護する必要があります。 アジャイル、 DevOps、および DevSecOps の背景について詳しく説明します。

DevSecOps Application Lifecycle Management デプロイ可能アーキテクチャーを使用できます。これは、 IBM Cloud カタログから入手できるソリューションです。このカタログでは、 Continuous Delivery などのツールを使用して、すべてのアプリケーション開発段階での統合を自動化できます。 また、必要な制御が満たされていることを監査員に簡単に示すことができるように、証拠も収集されます。 DevSecOps Application Lifecycle Management を使用することで、新しい脆弱性が実動に到達しないようにし、品質と制御によって実動に頻繁に更新されるようにし、セキュリティー監査を処理するためのエビデンスを収集することで、シフト・レフト・アプローチを実装できます。

DevSecOps Application Lifecycle Management は、 Continuous Delivery (Git Repos and Issue Tracking、Tekton パイプライン、 DevOps Insights、および Code Risk Analyzer を使用します。 Financial Services 業界の要件に合わせて調整された Continuous Delivery は、 NIST Configuration Management のコントロールをサービスとして実装するための参照実装を提供します。

すぐに使用可能な DevSecOps with Continuous Delivery は、 SonarQube、Gosec、OWASP Zap (動的スキャン)、任意の単体テスト・フレームワーク、GPG 署名などのスキャン・ツールも使用します。 また、外部の Git プロバイダーや成果物ストアなどの追加のツールも使用することができます。 DevSecOps は、特に パイプライン・プライベート・ワーカー を使用してハイブリッド・デプロイメントをサポートし、 Satellite Config や ArgoCDなどの他のデプロイメント・ツールとインターフェースを持つことができます。 詳しくは、 DevSecOps with Continuous Delivery を参照してください。

このデプロイ可能アーキテクチャーをカタログから構成するには、カタログを プロジェクトリソースとインフラストラクチャーをコード・デプロイメントとして定義および管理する成果物の集合。 に追加し、入力変数を構成し、更新を検証し、短時間でデプロイします。 プロジェクトを使用して DevSecOps Application Lifecycle Management をデプロイする 方法について説明します。