新規:Okta ワークフロー用 SCW コネクタ

セキュア・コード・ウォリアーとOktaは、開発者のワークフローを保護する新しい方法を発表します

開発者は高品質のコードをこれまで以上に早く提供することが期待されていますが、非現実的な期限がソフトウェア品質の低下や脆弱なコードにつながる可能性があることは間違いありません。開発者の 67% が、締め切りが厳しいこともあり、脆弱性のあるコードを出荷していると考えているのは驚くことではありません (開発者主導型セキュリティ2022の現状)。脅威と侵害が増え続ける中、セキュリティはもはや後回しにすることはできず、代わりにDevSecOpsサイクル全体に組み込む必要があります。

Okta Workflows用のSecure Code Warrior Connectorを発表できることを嬉しく思います。これにより、組織や開発者はソフトウェア開発ライフサイクルの最初から安全なコードを作成できます。SCWとIDの大手独立系プロバイダーであるOktaとのこの新しいコラボレーションにより、セキュリティ技能チェックが行われ、AppSecマネージャーは、開発者をワークフローから外すことなく、チームが脆弱性を減らすための安全なコードに取り組んでいることを確信できるようになります。さらに、Secure Code WarriorとOktaにシングルサインオンを追加して、この優れた新しいソリューションをさらに簡単に活用できるようにしました。

脆弱性が導入されるリスクを軽減

開発チームはこれまで、プラグイン、スキャンツール、コードレビューなど、開発サイクルの後半にある事後対応型または時間のかかるプロセスに頼ってセキュリティ問題の特定と修正を行ってきました。これらのアプローチには多くの利点がありますが、脆弱なコードや将来のやり直しのリスクが高すぎるだけです。その代わり、私たちは組織がセキュリティを左派にシフトさせ、事後対応ではなく積極的なセキュリティスタンスをとれるよう支援します。Okta Workflows用の新しいSecure Code Warrior Connectorは、個々の開発者がコードをコミットするためのリポジトリアクセスを許可されるのに必要なセキュアコーディングスキルを習得していることを保証することで、セキュリティ思考を開発サイクル全体に統合します。この統合により、開発者はSCWの非常に魅力的なプラットフォームを通じて最新のセキュリティ慣行について確実に学び、手動によるコードレビューの負担の一部が軽減され、エンジニアリング時間を解放して品質を犠牲にすることなくより多くの機能をリリースできるようになります。

アプリケーションセキュリティとエンジニアリングのリーダーは、SCWの広範な学習プラットフォームを活用して個別の評価とパスを作成し、開発者がお客様の最優先事項であるセキュアコーディングのニーズに集中し、コードを確実にチェックインできるような適切な専門知識を身に付けていることを確認します。コンテンツの幅広さと深さ、6500以上のインタラクティブなコーディング課題、56以上の言語:フレームワーク、150以上の脆弱性カテゴリの助けを借りて、組織のほぼすべてのニーズを確実に満たすことができます。

チームに適した学習戦略を作成したら、評価スコアとコースの修了状況に基づいて、開発者がセキュリティファーストのアプローチでソフトウェアを構築するための適切なスキルを持っているかどうかを判断できます。Okta との新しい統合により、評価スコアに基づいて各開発者の権限を自動化できるようになりました。これにより、個々の開発者の承認を簡単に拡大してコードをコミットしたり、スキルセットをさらに伸ばす機会を特定したりできます。

SCW プラットフォームでの柔軟でインタラクティブな学習体験のおかげで、開発者は常に学習を楽しみ、学習へのアプローチが、コンプライアンスのチェックボックスから説得力のあるやりがいのあるものへと変化していることがわかります。

仕組み

Okta Workflows用のセキュアコードウォリアーコネクタは、Okta Workflowsで簡単に構築できます。コードIDの自動化やオーケストレーションの設定は不要で、if-thenロジックを使用します。Connectorは一連のアクションを使用しているため、API呼び出しや構成設定の根本的な複雑さを気にすることなく、ワークフロータスクを実行できます。

開発者のワークフローを保護するためのシンプルな設計は次のようになります。

完全なワークフロー設計の概要は次のとおりです。

‍

手順を見ていきましょう。

1。開発者のセキュリティ能力を判断するために使用する評価 ID を設定します。また、セットアップの一環として、組織やリポジトリなどの GitHub の詳細を追加してください。

2。ワークフローでは、「ユーザーの評価完了をチェック」というアクションを使用して、開発者が特定の評価に合格したかどうかを確認します。

‍

3。希望するコース/評価が完了しているか、特定のスコアが達成されたら、GitHub Connector を使用してリポジトリへのアクセスを許可してください。要件が満たされていない場合は、通知を生成したり、別の Okta ワークフローを起動して適切なアクションを実行したりできます。

‍

上記は、適格な開発者のみを安全なワークフローに引き続き受け入れるように、1回限り、定期的、または継続的なチェックとして実行するように設計できます。

他に実行できる SCW コネクタアクションには、次のようなものがあります。

• ユーザーの評価試行回数一覧-特定の評価でユーザーが行ったすべての答案を一覧表示します
• ユーザーのコース修了確認-ユーザーが特定のコースを修了したかどうかを判断します
• ユーザーのコース登録を一覧表示-特定のコースIDについてユーザーが持っているすべての登録を一覧表示します
• カスタム API アクション-使用可能なアクション以外の API 呼び出しを実行する

高品質で安全なコードをより迅速に、自信を持ってリリース

SCW Connectorは、ソフトウェア開発ライフサイクルの開始時に脆弱性が導入されるリスクを軽減するのに役立ちます。コードレビューやスキャンツールと同様に、開発者が最初から安全なコードを書いていることを確認するための品質ゲートの役割を果たします。その結果、コードのレビューや回避可能な問題の修正に費やす時間が減り、より早く高品質のコードを提供することに焦点が移ります。さらに、Connectorは、開発者がSCWの学習プラットフォームに積極的に関わってセキュリティスキルを維持することを奨励することで、セキュリティ第一の文化を促進するのにも役立ちます。開発者が学び続け、セキュリティの成熟度を向上させるにつれて、新しいコードにおける脆弱性は減少し続けています。これにより、AppSecチームによる修復サポートの負担が軽減され、組織全体のセキュリティ体制の強化に集中できるようになります。

Oktaワークフロー用のセキュア・コード・ウォリアー・コネクターと当社の 学習プラットフォームは、開発チームのセキュリティ技能を高めることで、組織がセキュリティを左に、より迅速にシフトするという目標を達成するのに役立ちます。

に手を差し伸べてください デモをスケジュールする またはチェックしてください ドキュメンテーション セットアップと構成の詳細については、こちらをご覧ください。

‍