ITの普及はビジネスに新たな価値を拓き、企業規模に左右されない生産性とスピードをあらゆる面に波及させた。現代のビジネスのスピードはテクノロジーの進化とともに日々増してきている。
企業内で活用されるソフトウェア開発の現場においても常にスピードが求められている。開発手法は後戻りが難しく縦割りなウォーターフォールから、組織改革につなげるアジャイルが進化し、より広域に組織改革の強化を前提としたDevOpsが多く受け入れられている。DevOps環境の浸透には、軽量で柔軟なオープンソースの活性化とDevOpsに最適化されたテストサービス等の充実が大いに貢献している。DevOps環境を備える組織も日常風景といえる昨今だが、開発のスピードは十分に向上し、運用にも一定の成果が得られたのにもかかわらず、現場ではDevOpsチェーンが破綻しかねない課題を抱える組織も増えてきている。それは、脆弱性管理の手法に満足いく成果が上がっていないことに起因する。キャッチアップを前提とするオープンソースアプリケーションのセキュリティ確保は難しく、セキュリティの背景知識も必要となり、開発やサポートが終了したものにも対処しなければならず、スピードが重視される開発者にセキュリティの責務を負わせるのはDevOps環境では適切とはいえない。企業にとってリスク緩和は重要項目なのは揺るぎなく、仮に脆弱性管理に課題を感じることなくDevOps環境を続行しているであれば、リスクを積み重ねる所業といえるのではなだろうか?
本書は、DevOps環境におけるソフトウェアの脆弱性管理について警鐘を鳴らすとともに、課題解消に向けた対策を提言する。DevOps環境を熟知する読者ならば、オープンソースのセキュリティに関する情報源をNVD(脆弱性情報データベース)からの無償データフィードを主としているのではないだろうか? しかし巧みな攻撃者はNVDの情報の先を行く可能性も否めない。また、ポートフォリオ全体で使用しているすべてのコンポーネントを完全かつ動的に理解する必要もあり脆弱性検出だけでも難度は高い。加えて、深刻度の格付けから、修正作業のリソースの確保、パッチ適用による挙動変化を想定した対策など、複雑な項目をCI/CDパイプラインを乱すことなく迅速に実施しなければならない。本書では、脆弱性管理の困難さのポイントを簡潔に指摘するにとどまらず、具体的な対策情報を適切かつタイムリーに提供するBlack Duck Security Advisory(BDSA)の有用性を機能と対処実例を交え解説する。DevOps環境で得たスピードはビジネスに還元されなければならない。セキュリティも高めたスピードに準拠させるのは企業責務として捉えるべきではないだろうか?DevOps環境に関わるビジネスパーソンが今読むべき重要な内容となっている。ご一読を強く推奨する。