皆さん、こんにちは。
今週もソフトウェアテスト、テスト自動化に関するニュース記事をご紹介していきたいと思います。
今回は国内ニュース2記事、海外ニュース1記事をご紹介回したいと思います。
■記事内リンク
「国内ニュース」
・バルテス社「INSURANCE FORUM ~デジタル時代の保険業務改革~」に登壇
・第17回Ques「CIのためのテスト自動化
「海外ニュース」
・ソフトウェア配信でセキュリティとエンジニアリングをチーム化する方法
■国内ニュース
□バルテス社「INSURANCE FORUM ~デジタル時代の保険業務改革~」に登壇
https://prtimes.jp/main/html/rd/p/000000115.000030691.html
こちらは、セミナーインフォ社が主催する「INSURANCE FORUM ~デジタル時代の保険業務改革~」にバルテス社が登壇する内容となります。
内容としては、RPAに関することで、先週ご紹介させて頂いた「T-DASH」にも関連すると思われます。
またこちらのイベントは、オンラインの他、会場での講演が行われるようです。
概要としては以下となっています。
| ・タイトル/ | デジタル時代の保険業務改革 |
| ・開催日時/ | 2021年11月25日(木)13:00-17:20(受付開始 12:30) |
| ・申し込み期限/ | 2021年11月24日(水)17:00 |
| ・開催場所/ | オンライン、Ja共済ビル(〒102-0093 東京都千代田区平河町2丁目7−6) |
| ・バルテス社講演内容/ | RPA活用でテストを高効率化・脱属人化! DX最前線のテスト専門会社が伝授する、マイグレーション開発効率化テクニック |
| ・内容/ | 本セッションでは、年間2,100プロジェクト以上のテストを手がけるバルテスが、DXにおける新システム構築・マイグレーションの現場で進めているRPAを活用した効率的な品質確保の事例と考え方をご紹介します。 1.マイグレーションにおける「見えない仕様」 2.RPAを起用したマイグレーション成功の2つのアプローチ 3.脱・属人化かつ継続的品質活動の実現 4.導入事例とイメージ |
| ・申し込み/ | https://si-forum.jp/20211125#611ca0a48a011b065fea0949-89ca7390b6baf5367668f7aa |
本イベントでは、バルテス社以外にも、様々な企業が登壇予定となっています。
ご興味のある方は、以下ページにアクセスされてみてはいかがでしょうか。
https://si-forum.jp/20211125#611ca0a48a011b065fea0949-89ca7390b6baf5367668f7aa
□第17回Ques「CIのためのテスト自動化」
https://ques.connpass.com/event/227101/
こちらは、connpassに掲載されていたオンラインイベントとなります。
connassでは、開発をはじめとしたIT勉強会など、様々なジャンルのイベントが有志によって開催されています。
今回は、QA専門イベントを開催されている「Ques」の第17回「CIのためのテスト自動化」をご紹介したいと思います。
開催概要は以下となっています。
| ・日時/ | 2021年11月18日(木)19:00~21:00 |
| ・場所/ | Zoomウェビナー |
| ・定員/ | 400名 |
| ・講義テーマ/ | CIのためのテスト自動化 |
| ・タイムスケジュール概要/ | Agile Testingを夢見たテスト自動化 〜ATDDへの挑戦から始まる1年間の試行錯誤、「誤」増し増し〜 これからのCI、これからのE2E自動テスト |
| ・申し込み/ | https://ques.connpass.com/event/227101/ |
ご興味のある方、ご都合の良い方は、上記ページにアクセスしてみてはいかがでしょうか。
■海外ニュース
□ソフトウェア配信でセキュリティとエンジニアリングをチーム化する方法
https://techbeacon.com/security/how-team-security-engineering-software-delivery
こちらは「techbeacon.com」に掲載されていた内容となります。
ソフトウェア開発のセキュリティに関することがまとめられていましたので、ご紹介したいと思います。
◇クラウドへの移行を検討する
これまで、エンジニアリングチームは、データセンター内でソフトウェアベースの管理ツールを開発し、それらを本番サーバーに直接展開していました。
しかし、組織がアプリケーションをクラウドに移行する場合、ソフトウェア配信ライフサイクルの各ステップで、基盤となるハードウェア、ソフトウェア、セキュリティツール、および手法を制御することは困難です。
つまり、クラウドへの移行は簡単ですが、ソフトウェア配信管理プロセスを保護することは困難です。
これを成功させるには、設計によるセキュリティの観点から考える必要があります。
ITリーダーシップは、事後にセキュリティについて考えるべきではありません。
あまりにも多くの組織が、ワークロードをオンプレミス環境からクラウドに「持ち上げてシフト」しようとします。
本質的には、古いセキュリティプロセスと制御を維持します。
これを行うことにより、クラウドネイティブのセキュリティツールやテクノロジーを効果的に活用することができなくなります。
たとえば、プロジェクトの開始時には、セキュリティの承認が必要です。
一元化されたセキュリティチームが各ステップに関与して、何が提供されているかを把握し、展開ライフサイクルの終わりに向けて予期しない事態が発生しないようにする必要があります。
ソフトウェア配信管理の2番目のセキュリティの側面は、セキュリティの正しい段階を設計によって決定する必要があることです。
ここで、エンジニアリングチームは、初期ビルドプロセス中にセキュリティのベストプラクティスを選択し、静的コード分析などの手法を活用し始めます。
◇設計によるセキュリティが重要である理由
企業がソフトウェア配信管理のセキュリティ体制を改善するのに役立つ5つのことは次のとおりです。
・静的コード分析
・動的コード分析
・コンテナのセキュリティ管理
・シークレット、パスワード、証明書、およびキーを管理するためのボールト
・ソフトウェア配信管理の可視性
◇静的コード分析
静的コード分析は、脆弱性、構築されたソフトウェアの品質、およびソフトウェア内のセキュリティの脆弱性を、急速に理解するために重要です。
問題を早期にキャッチすることで問題を修正し、エンジニアリングチームがバグのあるコードを本番環境にデプロイすることを回避できます。
ITリーダーにとって望ましい結果は、ソフトウェア配信管理プロセスの開始時に既知の問題と脆弱性を排除することです。
◇動的コード分析
動的コード分析は、ランタイム実行の一部として脆弱性を特定するのに役立ちます。
動的コード分析は、開発者とDevOpsチームが実行中のアプリケーションをスキャンして脆弱性を特定できるようにするブラックボックス脆弱性スキャンの形式です。
動的コード分析により、本番インシデントの識別までの平均時間を短縮し、全体的なセキュリティ体制を強化できます。
◇コンテナのセキュリティ管理
多くの組織がVMからクラウド内のコンテナーに移行しています。
コンテナテクノロジに移行する場合、セキュリティエンジニアリングでは、ソフトウェア配信管理プロセスの一部としてコンテナスキャンを含める必要があります。
セキュリティチームは、ソフトウェアエンジニアリングチームおよびDevOpsチームと提携して、コンテナセキュリティの脆弱性管理のベンチマークとベースラインを確立する必要があります。
また、すべてのコンテナイメージが定期的にスキャンされ、スキャン結果がベースラインから逸脱しないようにする必要があります。
さらに、CI / CDプロセスに承認ゲートを組み込むと、セキュリティチームがポリシーを実施し、規定されたすべてのソフトウェア配信管理セキュリティ手順を自動化するのに役立ちます。
この重要なプロセスにより、各展開からバグ、既知の脆弱性、および驚きを排除できるため、ソフトウェアの品質とセキュリティ体制が向上します。
◇シークレット、パスワード、証明書、およびキーを管理するためのボールト
これまで、エンジニアリングチームは、ソフトウェアを展開および構築するためのスクリプトを作成し、パスワード、キー、および証明書を埋め込みました。
このアプローチはクラウド展開では機能せず、機密データをスクリプトにハードコーディングするための適切な方法ではありません。
機密データが公開されるため、侵害につながる可能性があり、複数のスクリプトや展開にわたる構成の管理が面倒になります。
このプロセスを自動化することにより、ソフトウェア配信管理チームはこれらのセキュリティの側面をボールト内に保持できます。
機密データを分離してボールトに保存すると、機密セキュリティデータを保護する方法が大幅に改善され、役割ベースのアクセスモデルを使用してユーザーがこのデータにアクセスする方法も制御されます。
ベストプラクティスとして、すべてのシークレット、パスワード、および証明書をボールトに保存する必要があります。
これらは、すべてのステップでセキュリティ対策と相互参照できます。
これにより、チームはパスワードのハードコーディングを回避でき、悪意のあるアクティビティからコードを保護することもできます。
◇ソフトウェア配信管理の可視性
現在のソフトウェア配信管理プラットフォームでは、情報はCI / CDパイプライン全体の複数のツールとステージに分散されます。
企業が情報をまとめ、データを正規化し、統一されたビューをまとめることは困難です。
この可視性の欠如とソフトウェア配信管理プロセスに対する統一された洞察は、セキュリティリスクを高め、生産性と運用に大きな影響を与えます。
可視性と予測機能の向上により、組織はボトルネック、遅延、およびセキュリティリスクを理解し、インテリジェントなビジネスおよび技術的な意思決定を行うことができます。
さらに、DevOpsとエンジニアリングチームは、問題にプロアクティブに対処し、エンドツーエンドのソフトウェア配信プロセスで土壇場での驚きを回避できます。
◇今やるべき3つのこと
少なくとも、IT組織は静的コード分析とコンテナの脆弱性管理を組み込み、ボールトを使用して機密性の高い構成データを保存する必要があります。
セキュリティリーダーは、これらの統合を容易にし、自動化されたCI / CDパイプラインのセキュリティポリシーを調整することにより、エンジニアリングチームに力を与える必要があります。
次に、これはエンジニアリング組織がガードレールを含めるのに役立ち、コードをあるステージから別のステージにシームレスに移動する機能を提供します。
目標は、検証を通じてセキュリティプロセスを改善し、チームが最高の品質とセキュリティ基準でソフトウェアを提供できるようにすることです。
これらすべてにより、CISOは、セキュリティチームとエンジニアリングチームの間で早期かつ頻繁にコラボレーションするための適切な措置が講じられていることを簡単に確信できます。
■最後に
今回は、国内ニュース、海外ニュース3記事を取り上げてみました。
次週も、ソフトウェアテスト、テスト自動化に関するニュースをご紹介したいと思います。
最後まで見て頂き、ありがとうございました。
