Datadogの調査レポートから見る、DevSecOpsの適用に向けた実態
マイナビニュース / 2024年6月5日 11時18分
何千ものコンテナイメージを分析した結果、コンテナイメージが小さいほど脆弱性が少ないことがわかり、含まれているサードパーティのライブラリが少ないためと考えられるという。
平均して、100MB未満のコンテナイメージには4.4個の高度な脆弱性またはクリティカルな脆弱性があり、250MBから500MBのイメージには42.2個、それより大きいイメージには約80個の脆弱性がある。コンテナ化された環境において軽量なイメージを使用することが、攻撃対象領域を最小限に抑えるための重要な手法であることを示しているとのことだ。
5つ目はIaCの採用について。1990年代にCFEngine、Puppet、Chefなどのプロジェクトで導入されたIaCは、クラウド環境をプロビジョニングするための標準として急速に広まっている。
AWS(Amazon Web Services)は、Terraform、CloudFormation、Pulumiなど、少なくとも1つの一般的なIaC技術を通じて、71%以上の組織がIaCを使用しているが、Google Cloudでは 55%と低くなっており、Azureに関してはアクティビティログがHTTPユーザーエージェントを記録しない。
AWSとGoogle Cloud全体では、Terraformが最も人気のあるテクノロジーで、クラウド固有のIaCツールであるCloudFormationやGoogle Deployment Managerよりも一般的となっている。
DevSecOpsを適用していくには?
6つ目はクラウドデプロイにまつわるものだ。クラウドの本番環境では、通常はCI/CDパイプラインがインフラストラクチャとアプリケーションへの変更をデプロイする責任を持ち、パイプラインで行われる自動化はIaCツールやクラウドプロバイダ固有のツールを使用したスクリプトによって行われる。
自動化により、エンジニアは本番環境に常に特権アクセスする必要がなくなり、デプロイが適切に追跡され、ピアレビューされるようになるが、クラウドコンソールから手動でアクションを実行するクリック運用(ClickOps)は、AWSの少なくとも38%の組織がすべてのAWSアカウントでClickOpsを使用していたことを確認した。
AWS Management Consoleを介してワークロードをデプロイしたり、センシティブなアクションを手動で実行したりしたことを意味し、これには本番環境での操作も含まれる。
この記事に関連するニュース
-
Datadog、開発環境と本番環境を対象とするデータ、クラウド、アプリケーションの新セキュリティ機能を発表
PR TIMES / 2024年6月28日 11時15分
-
GitLab、開発者のエクスペリエンス向上に向けてGoogle Cloudとの統合拡張を発表
PR TIMES / 2024年6月22日 13時40分
-
Datadog、DevSecOpsチーム向けの新製品App Builderを発表
PR TIMES / 2024年6月21日 16時15分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
-
DatadogのDevSecOps の現状2024レポートで、多くの組織がクラウド展開のセキュリティ確保のために自動化を十分に導入していないことが判明
PR TIMES / 2024年6月4日 18時15分
ランキング
-
1KADOKAWA、一部クリエイターの個人情報など漏えい確認と報告 ドワンゴ「流出した情報のダウンロードや拡散控えて」
ねとらぼ / 2024年6月28日 20時43分
-
2KADOKAWA、クリエイターの個人情報漏えいを確認 取引先との契約書なども
ITmedia NEWS / 2024年6月28日 18時45分
-
3「ご乱心wwww」 実写ドラマを見て“キレる”原作者に「信頼できるオタクの反応」「限界オタク」
ねとらぼ / 2024年6月28日 18時30分
-
4複数のWordPressプラグインにバックドア、確認と対策を
マイナビニュース / 2024年6月28日 8時48分
-
5楽天モバイル、ついにプラチナバンド開始 都市部の穴を埋めるのがメイン
ASCII.jp / 2024年6月27日 17時20分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)