91郭肱利

ポリシ�`は互邦�変墫錣納琶�され、コ�`ドはクエリを聞喘するポリシ�`?エンジンに秘薦されます。ポリシ�`?エンジンはこれらのポリシ�`を秘薦として�I尖し、クエリ潤惚を戻工します。この潤惚により、譜協されたポリシ�`に冽って、癖俳なアプリケ�`ション?セキュリティ?テスト�┫ヽО妝�の嶽窃、およびテストを�g仏する扮豚と���鷙w侭が畳協されます。

Policy as Codeは、蒙協のアプリケ�`ションをテストするための念戻訳周を峺協する�iみ函り辛嬬なスクリプト?ファイルです。これらのファイルは�M��が聞喘するツ�`ルと札�Q來のある、サポ�`トされているプログラミング冱�Z��YAMLやPythonなど��で��峰されています。ポリシ�`はCIパイプラインへのAPI柵び竃しによって�m喘されるため、�F壓のビルドを�欧垢海箸覆�セキュリティ?テストを�g佩できます。

Policy as Codeに��峰する�Hの嶷勣な深�]並��

• 卆贋�v�S テストによってビルドやデプロイが篤�欧気譴訖苗榻圓�あるか。どのような距�暴畊�を諒籾弖�Eシステムにエスカレ�`ションする駅勣があるか。
• コ�`ドの�筝�。�筝�がコミットされた扮豚。�筝�の殻業。�筝�に育う弖紗テストや返強によるコ�`ドレビュ�`を佩う駅勣があるか。
• テスト���鵐▲廛螢羽`ションの並匍塰喘貧の嶷勣業。���鵐▲廛螢羽`ションは字畜デ�`タを�Qうか。嶷寄なダウンタイムのリスクがあるか。���鵐▲廛螢羽`ションのアタックサ�`フェスはどこにあるか。
  
  

アプリケ�`ション?セキュリティ?テストでは、Policy as Codeを試喘して、テストするタイミング、聞喘するテスト?ツ�`ル、テストの駅勣來の嗤�oなどの訳周を協吶できます。これらのパラメ�`タをコ�`ド晒することで、�}方のASTツ�`ルの�B亊を��殆晒し、互娼業のテスト?ワ�`クフロ�`を�g�Fできます。これにより、セキュリティ?ポリシ�`を匯��來のある徭�啝�された圭隈で�m喘することが辛嬬になり、�_�kスピ�`ドを鯛とすことなくソフトウェア瞳�|を�鯢呂気擦襪海箸�できます。

Policy as Codeを�m喘することには、參和の嶷勣な旋泣があります。

• セキュリティ?テストのスピ�`ドアップ。ポリシ�`癖喘の徭強晒により、返強による初壓なしに、駅勣に鬉犬謄札�ュリティ?テストをトリガできます。
• �紳覆力鯢蓮�返強のポリシ�`癖喘をなくすことで、ポリシ�`を強議に厚仟および慌嗤し、テストに扮寂がかかる勣咀となる音勣な繁返の初壓を電茅することが辛嬬になります。
• バ�`ジョン砿尖と辛篇來�鯢呂鰆г�。塰喘の彜趨を酒�gに燕幣でき、徭強バ�`ジョン砿尖により、仟しいバ�`ジョニングに�v銭する諒籾が�k伏した魁栽の厚仟または厚仟の��茅をシ�`ムレスに佩うことができます。
• ミスを受らし、�編^を辛嬬にする。ポリシ�`譜協の徭強晒により、繁返の初壓によって哈き軟こされる列りを電茅します。さらに、ポリシ�`をコ�`ドにより芝峰すると、�編^アクティビティの�g佩を酒殆晒して互娼業を鳩隠することができます。
   

恷除の怏岶は謹��な粥皆意ツ�`ルを聞喘しており、セキュリティ?スキャンの潤惚が誼られるまでに方晩かかる魁栽もあります。そのため、ますます紗堀する蝕�kのスピ�`ドについていくことができるアプリケ�`ション?セキュリティ?テスト?ツ�`ルとプラクティスが駅勣になります。

さらに、ソフトウェアがポリシ�`に����し、セキュアであることが鳩範できれば、ソフトウェア蝕�kライフサイクル�┳Ф抒�遺��の壼豚の蝕�k粁竣でソフトウェアのリスクを委燐することができます。しかし、由栽議なテスト�藺圓�貨協されていなければ、潤蕉、返強でのスキャンとコ�`ド?レビュ�`を駅勣とし、セキュリティの畠悶議な寮伏彜蓑は匯香來のないものになります。

さらに、屡贋のパイプラインで聞われている��？なツ�`ルを由栽する恬匍は鹸�jで扮寂がかかる辛嬬來があり、屡贋のビルドおよびリリ�`ス?パイプラインを篤�欧垢襯螢好�を互める勣咀にもなります。粥皆意ツ�`ルと屡贋のソフトウェア?デリバリ�`弖�Eシステムの由栽や、リスクに児づくセキュリティ?アクティビティの單枠乏了原けを酒殆晒できなければ、セキュリティおよび蝕�kのリソ�`スはすぐに噫薦がなくなる辛嬬來があります。

ツ�`ル桟廠に育うこれらの仁籾によって、謹くの魁栽、セキュリティのハ�`ドルが互まり、涙�v�Sなテストが佩われて、蝕�k伏恢來とのタイムラグが寄きくなります。セキュリティ?アナリストはサイロ晒されたツ�`ルや返恬匍でのレビュ�`により蝕�kスピ�`ドに弖いつくことが是佃になり、プロセス、吭房畳協、嶷勣な距�暴畊�を寄蕉議な篇泣で辛篇晒する返粁の之泌とテスト音怎により、��喘される辛嬬來がある互コストなソフトウェアの之��が�奮�されないまま火る辛嬬來があります。&稼恢壊沿;

Policy as Codeは、これらのDevSecOpsの嬾墾を針捲するために嗤�燭片塹造��C嬬を�笋┐討い泙后�

• 蝕�k垢殻での�@�A議なフィ�`ドバック?ル�`プの戻工。粥永鴛由栽によりポリシ�`を癖喘し、干庄姻温チケットまたは皆鉛温界一宥岑を宥じて嶷勣なセキュリティ?アクティビティを蝕�k宀に岷俊�惨錣任�ます。
  
  
• 吭房畳協の徭強晒。アプリケ�`ション?リスク、コ�`ドの�筝�、卆贋�v�Sに��して並念に協吶されたしきい�､忙�づいてセキュリティ?イベントをトリガする訳周をコ�`ド晒することで、アジャイル�h廠�鬚韻�AppSecを���併�する�Hの彫価を寄嫌に�X�pできます。Policy as Codeにより、テストの駅勣來の嗤�oと�m喘するテストの坪否を�Q協するために宥械駅勣となる返�咾僚蚶擇�音勣になります。

淫凄議な粥皆永珂ソリュ�`ションを戻工する皆霞稼看沿壊霞壊のSoftware Risk Managerでは、肝のことが辛嬬です。

• テスト�g佩と巌樋來砿尖のパラメ�`タを峺協するセキュリティ?ポリシ�`を協吶および�m喘することにより、ポリシ�`�l�嗤佑�AppSecを寄�ﾄ�に�g廾
• 呟なるアプリケ�`ション?セキュリティ?テスト?ツ�`ル寂でユ�`ザ�`?エクスペリエンスを由栽し、リソ�`スの距器と塰喘を酒殆晒するとともに、チ�`ム寂のツ�`ル由栽を個鋲
• プロジェクト、チ�`ム、ツ�`ル畠悶で巌樋來の烏御と砿尖を由栽し、屎号晒、嶷鹸電茅、單枠乏了原けを�g佩してセキュリティ?リスクの畠悶�颪鯡疂�
• 蝕�kワ�`クフロ�`における粥沿沿皆艶界の由栽とオ�`ケストレ�`ション�┻�屁��を酒殆晒して、セキュリティ?ワ�`クフロ�`を屡贋の蝕�kツ�`ルチェ�`ンに由栽し、屡贋のプロジェクトとビルドの儻堀なオンボ�`ディングを�g��
• 匯圷晒された由栽ソリュ�`ションでコア?アプリケ�`ション?セキュリティ?テストを恷癖晒し、コア?アプリケ�`ション?セキュリティ?テスト字嬬の�紳糞弔辺洪�、砿尖、レポ�`ト恬撹を�g��