インフィニティソリューションズ株式会社ブログ

アジャイル開発でのセキュリティはSAFECodeを参考に

The Software Assurance Forum for Excellence in Code(略称:SAFECode)という業界団体がある。Adobe、EMC、Microsoft、SAP、Symantecなどが中心となり、ソフトウェアの品質を高めて、結果、ソフトウェアを使った製品への信頼を高めようという目的で設立された非営利団体。そのSAFECodeがリリースした最新のドキュメントが「Practical Security Stories and Security Tasks for Agile Development Environments(アジャイル開発環境向けの実践的セキュリティのストーリーとセキュリティタスク)」というもの。SD Timesが紹介している。

‘This new paper provides security-focused stories and security tasks that can easily be integrated into agile-based development environments. The guidance in the paper is not intended to replace security experts, but rather seeks to add a level of self-service for agile developers.’

「この新しい刊行物は、セキュリティにフォーカスした話とセキュリティタスクについて記されたもので、アジャイルベースの開発環境に簡単に統合できるもの。この書のなかのガイダンスは、セキュリティ・エキスパートの代わりになることを意図したものではなく、アジャイル開発者がセルフサービスのレベルを引き上げられるようにすることを目的としている。」

SAFECode

‘“Because the tasks are translated in a format that agile team members are familiar with, the role of the security expert can take a backseat during development”

「タスクは、アジャイルチームのメンバーにとってなじみに形に翻訳されているため、セキュリティ・エキスパートは、開発中は表に出なくても良くなる」(EMCのプロダクトセキュリティ・オフィスのプロダクトセキュリティ・アシュアランス担当ディレクターで、この書の著者の1人でもあるReeny Sondhi氏)

‘“Rather than waiting to the very end for some security expert to come do security, this is an attempt to try and bake security in throughout the development life cycle by the developers themselves.”’

「セキュリティ・エキスパートがセキュリティ対策を行う瀬戸際を待つのではなく、開発者自身が開発ライフサイクル中にセキュリティ対策を試みようというもの。」

‘“Now we are actually putting something on the backlog that a team can come at at the beginning of a sprint—and hopefully most of the sprints—and remove that from the backlog, make sure it gets into what’s called the definition of ‘done’ at the end of the sprint, and then be aware of that and reuse it as necessary during the course of the many sprints,” said Izar Tarandach, principal security engineer of product security at EMC, and one of the authors of the paper. “We are adding basically guidance, assurance and actual tasks that agile developers can perform and keep in mind in a setting that’s familiar to them and one they like to relate to, which are stories and backlog tasks.”’

「スプリントの初めに、望むべくはほとんど全てのスプリントに対して、開発チームがバックログに設定できるようにし、バックログを処理し、スプリントの最後に『Done』と定義される状態になるようにし、そのことを意識し、多くのスプリントの中で必要に応じて再利用できるようなものにしている。アジャイル開発者が実行し、なじみのある設定で心にとめられ、ストーリーとバックログ・タスクという、関連性を持ちたいとおもうような、基本的なガイドライン、アシュアランス、実際のタスクを加えている」(EMCのプロダクトセキュリティのプリンシパル・セキュリティエンジニアで、この書の著者の1人であるIzar Tarandach氏)