メモ:このブログはdev.to? ?…. .

JFrog x光のような新しいSCA(ソフトウェア構成分析)ツールをSDLCに導入,追加,または置き換える場合,正しく実施されなければSDLCと組織に非常に大きな影響を与える可能性があります。

このブログでは,混乱を避けつつDevSecOps。

。通常,特に新しいツールを導入するときによく起こることは,すべての画面が赤くなり,あらゆる所でアラートが表示されることです。このようなシナリオではシステムのロックダウンを要求したり,ビルドを失敗させたり,依存関係を拒否したりするのは当然です。★★★★★★★★★★★★★★★★。。むしろ組織はアラート対応疲れを発症し,ツールを無視してしまう可能性があり,絶対にお勧めできません。

(5)、(5)、(5

1. 研发
   このプロセスに研发を関与させると管理しやすく生産性の高い真のDevSecOpsプロセスを実現できる可能性があります。100~200个，1个，1个，1个，1个。1人のエンジニアがすべてのセキュリティの問題をレビューして管理することは開発と密に連携して初めて可能になります。。
2. アプリケーションチームおよび/または成熟段階ごとにウォッチを設定する
   青蛙x射线はポリシー(セキュリティやコンプライアンスを管理するルール)やポリシーを適用するためにリソース(リポジトリ,フォルダ,ビルドなど)のセットをグループ化します。
   アプリケーションチームごとにウォッチを作成することで各チームに独自の”設定“と責任を与えることができます。これによってセキュリティガバナンスを”シフトレフト“哇，哇，哇，哇!
3. 这是一个非常重要的问题
   開発ツール(CIサーバー,IDEなど)に情報を取り込み,開発者環境にガバナンス関連の情報を提供できるするようにします。x射线【中文翻译? ? ? ?
4. スモールスタートで実施して改善する
   • 。ここでは適切なチームを選択するための考慮事項をいくつか紹介します:
     • 前衛的なチーム——変更に対してオープンで改善のための新しい方法をテストしているチーム(特にセキュリティに気を遣っている場合)。
     • 英文:
     • 。
       。
   • “”。上述したようにJFrog x光を実装した場合,大抵はすべてのタイプと深刻度の数十から数百のアラートが生成されます。★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★クリティカルな問題の数が多すぎて,ツールがそれをサポートしている場合は”低/中/高/クリティカル”よりもさらに細かく設定してください。贵司，贵司，贵司，贵司，贵司，贵司，贵司，贵司，贵司，贵司。。
   • “”。★★★★★★★★★★★無視。課題のグループを一時的にホワイトリストに登録したり,課題を修正するための期限を設定したりすることができます。
   • 我的意思是，我的意思是，我的意思是。JFrog x光ではメール通知、Webhook、Slackメッセージ、JiraのIssuesを使ってアクションを取ることができます。また、ダウンロードをブロックしたり、ビルドを失敗させたり、リリースの配布をブロックしたりすることもできます。
     管理可能な既存の問題(つまり,解決可能な問題や無視できる問題)のクリーンアップが完了するまでは開発ライフサイクルを混乱させるようなアクションは避けるようにしてください。例えば依存関係のダウンロードをブロックしたり,新しいツールのスキャン結果に基づいてビルドを失敗させたりするような行為です。
     • 。
5. (吉拉、松、松)
   • “”“”“”“”“”“”“”“”“”“”“”“。

。マイナーな問題についてはこの時点で対処するか,次のプロジェクト/チームで対処するかを検討する必要があります。

このブログのベストプラクティスが開発とセキュリティの間にあるかもしれない緊張感を取り除くのに役立つだけでなく,いくつかのDevSecOpsの基礎を提供してくれることを願っています。