• ログイン今すぐ開始

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。

英語版と齟齬がある場合、英語版の定めが優先するものとします。より詳しい情報については、本リンクをご参照ください。

問題を作成する

セキュアソフトウェア開発ライフサイクル

一般的に利用可能なNewRelicプラットフォーム用にNewRelicで構築されたソフトウェアは、これらの5つのフェーズを通過します。

ソフトウェア開発フェーズ

セキュリティコントロール

要件

リスクアセスメント

デザイン

脅威のモデル化

開発

セキュアコーディングの基準と実践

検証

コードレビュー、セキュリティレビュー、静的コード解析、コンポジション解析、計算ハッシュ、署名付きコード

デプロイ

ハッカーワンとNew Relicの協調公開プログラム、定期的なスキャン、第三者によるペネトレーションテスト

要件

一般的に利用可能なNewRelicプラットフォームの各プロジェクトチームには、NewRelic製品のセキュリティのレビューとアドバイスを担当するセキュリティエンジニアが割り当てられています。要件構築フェーズでは、セキュリティエンジニアがリスク評価を実行してから、プロジェクトのセキュリティ要件を追加します。プライバシーとコンプライアンスの専門家は、必要に応じてプロジェクトチームに追加されます。

デザイン

設計段階では、ニューレリックのセキュリティエンジニアは、利害関係者、エンジニアリングリーダー、アーキテクトと協力して、その機能についての詳細な共通理解を得ます。New Relic のセキュリティエンジニアは、その機能を安全に実装するための受け入れ基準、機能、要件を文書化した脅威モデルを作成することで、利害関係者と共に設計プロセスに貢献します。セキュリティエンジニアは、この脅威モデルをもとに、必要なコントロールの詳細な仕様をプロジェクトに追加します。

ビルド

各製品エンジニアは、 OWASP top 10 、入力のサニタイズ、New Relic ですでに導入されている安全なフレームワークとプロセスの使用などのトピックを含む、安全なコーディングのトレーニングを受けます。構築段階では、エンジニアリングチームは New Relic のセキュアコーディング基準に従って、プロジェクトに適切なセキュリティ機能を実装します。

検証

機能が完了すると、すべてのプルリクエストは、コードリポジトリへの書き込み権限を持つ別のエンジニアによるコードレビューを受ける必要がある。セキュリティ・エンジニアは、コード・スキャン・ソフトウェアがセキュリティ・ポリシーに対する脆弱性を自動的にチェックすることに加えて、設計、要件、評価の各段階で推奨されたセーフガードやコントロールが必要に応じて実装されているかどうかを検証する。

New Relicでは、静的なコード分析と構成分析を行い、コードと依存関係にある脆弱性を探します。

デプロイ

New Relic は、ハッシュとシグネチャの導入を進めています。New Relicが公開しているファイルをダウンロードする人は、ダウンロードしたファイルが改ざんされておらず、New Relicが公開しているものと同一であることを確認できるようになります。

配備されたコードは、関係者や製品エンジニアによって監視され、反復的な開発プロセスが継続されます。セキュリティチームは、定期的なセキュリティスキャン、サードパーティによるペネトレーションテスト、およびHackerOne を介した の協調的な開示プロセスにより、展開されたコードのセキュリティを評価し続けています。

Copyright © 2022 New Relic株式会社。

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.