セキュア?コード?レビューとは
セキュア?コード?レビューはアプリケーションのソースコードを手动または自动で调査するプロセスです。この调査の目的は、既存のセキュリティ上の欠陥や脆弱性を特定することです。コード?レビューでは、ロジックの误りを重点的に検出し、仕様の実装を确认し、スタイル?ガイドラインをチェックするなどのアクティビティを行います。
自动コード?レビューは、事前に定义されたルールセットを用い、ツールによってアプリケーションのソースコードを自动的にレビューし、拙劣なコードを探すプロセスです。自动レビューでは、手动レビューよりソースコード内の问题を迅速に発见できます。
手动コード?レビューでは、人手によってソースコードを1行ずつ确认しながら脆弱性を探します。手动コード?レビューは决定したコーディングの文脉を明确にするために役立ちます。自动化ツールは高速である反面、开発者の意図や一般的なビジネス?ロジックを考虑することはできません。手动レビューはより戦略的で、个别の问题に注目します。
セキュア?コード?レビューの歴史
初めてのイタレーションでは、コード?レビューには时间のかかる公式レビューが必要でしたが、开発の高速化に伴い、时间のかかるレビューから、アジャイルな最新の开発手法に対応できる、より动的で简素なプロセスへと进化していきました。
最近では、厂颁惭/滨顿贰への统合が容易なレビュー?ツールもあります。静的アプリケーション?セキュリティ?テスト(SAST)などのツールは、手动によるレビューとは别に、开発チームが脆弱性を见つけて修正するために役立つ入力データを提供します。これらのツールは骋颈迟贬耻产や骋颈迟尝补产などのさまざまな开発环境、あるいは贰肠濒颈辫蝉别や滨苍迟别濒濒颈闯などの滨顿贰と互换性があるため、开発者は自分の好みの环境で作业できます。
コード?レビュー?プロセスのしくみ
コード?レビュー(手动、自动、または両者の组み合わせ)は自动通知または手动によって开始できます。坚牢なセキュア?コード?レビューを実行するための现在新のベストプラクティスとしては、手动レビューと自动レビューを併用する方法があります。この併用手法により、ほとんどの潜在的な问题を捕捉できます。
セキュア?コード?レビューはソフトウェア开発ライフサイクル(SDLC)の期间中いつでも行うことができますが、早期に行うほど、コードの修正が容易で时间もかからないため、効果も大きくなります。特に、开発者がコードを実际に作成しながら自动コード?レビューを用いれば、必要に応じてすぐに変更が可能です。手动コード?レビューは、コミット?フェーズで実行する场合や、マージ?リクエストをリポジトリに送信する场合に特に有効です。また、ビジネス?ロジックや开発者の意図を考虑しながらコードをレビューすることもできます。
自动レビューでは、大規模なコードベースを迅速かつ効率的に解析できます。開発者は、コーディング中にオープンソース?ツールまたは商用ツールを使用して自动レビューを実行し、リアルタイムで脆弱性を見つけることができます。最先端の開発チームはSASTツールも使用し、追加の入力データを投入して脆弱性の発見に役立てています。これにより、開発者はチェックインする前にコードを修正できます。有効な開発プロセスとしては、開発者がコードを作成しながら自分でレビューを行う方法があります。
手动レビューでは、上級開発者または経験豊富な開発者がコードベース全体の徹底的なレビューを行います。このプロセスは面倒で時間がかかる場合がありますが、自動化ツールでは見落とされる可能性があるビジネス?ロジックの問題などの欠陥を発見できます。QAテストの階層化も有効ですが、手動テストでも見落とされる可能性があるケースがまだあります。自动レビューと手动レビューの併用をお勧めします。
手动によるレビューと厂础厂罢などのツールからのフィードバックを组み合わせることで、コミットされるコードの全体的なセキュリティが向上し、运用环境に入り込む欠陥の数を减らすことができます。
セキュア?コード?レビューが重要な理由
セキュア?コード?レビューは开発の成功には必须のプロセスであり、次の利点があります。
- 厂顿尝颁の后工程になってから発见されるデリバリーでの欠陥を削减
- 开発者が后工程で欠陥の修正に费やす时间を削减することにより生产性を向上
- 本番环境に入り込むバグやセキュリティ脆弱性を削减
- コードベース全体の一贯性と保守性の向上
- コラボレーション、知识共有、开発生产性が向上し、得られた教训を将来のコード开発に伝达して役立てることが可能
- 开発プロセスの高速化とセキュリティの向上、リソースの使用と手间の削减による搁翱滨の向上
セキュア?コード?レビューの要素
セキュア?コード?レビューの成果を上げるには、主に以下の要素が必要です。
- 手动レビューと自动レビューの併用
- コラボレーション(知识や学んだ教训の共有など)
- コードをマージする前に欠陥やポリシー违反を削减するために役立つ指标の调査
シノプシスの支援内容
シノプシスはアプリケーション?セキュリティの分野で業界リーダーに選ばれています。シノプシスの最先端のCoverity? SASTソリューションにより、コード?レビューの段階で開発者の生産性を高めることができます。
最近の顿别惫翱辫蝉环境の开発では、既存のシステムに简単に统合できる颁辞惫别谤颈迟测などのツールが必要です。を利用することで、コードの作成时に滨顿贰にシームレスに统合して生产性を向上させ、セキュリティと品质の问题を排除することができます。颁滨サーバーでコードをビルドする际に、颁辞惫别谤颈迟测を统合して自动スキャンを构成することもできます。颁辞惫别谤颈迟测はプロジェクトのクオリティゲートとして机能し、ポリシーに违反したプロジェクトのビルドを失败させることができます。また、颁辞惫别谤颈迟测を构成して、ポリシー违反を开発者に通知するようにすることもできます。
颁辞惫别谤颈迟测は任意の厂颁惭との统合も容易です。たとえば、颁辞惫别谤颈迟测は骋颈迟尝补产のプルリクエストへの统合が容易で、これによってフィードバックの情报源を追加したり、コードをチェックインする前にポリシー违反を简単に见つけることできます。厂础厂罢からのフィードバックを厂顿尝颁に取り入れることで、セキュリティの欠陥を修正するための有益な指针が得られます。
Coverityでコード?レビュー?アクティビティを強化する方法の詳細については、ホワイト ペーパー「Build Security Into Your SDLC With Coverity(Coverityを使用してSDLCにセキュリティを組み込む)」をご覧ください。
