SAST
Static Application Security Testing(静的アプリケーションセキュリティテスト)の略。ソースコードを実行せずに静的解析して脆弱性を検出する手法。SonarQube・Checkmarx等が代表的ツール。
SASTとは?
Static Application Security Testing(静的アプリケーションセキュリティテスト)の略。ソースコードを実行せずに静的解析して脆弱性を検出する手法。SonarQube・Checkmarx等が代表的ツール。
SASTが重要な理由
DevOpsエンジニアにとって SAST は現代のインフラ・開発運用において核心的な技術です。クラウドネイティブな環境では、この概念と実装スキルを持つことが標準的に求められるようになっています。
主要なポイント
- 自動化: SASTを活用することで、繰り返し作業をコード化・自動化できます
- スケーラビリティ: 大規模システムの運用・管理が効率化されます
- 信頼性: 人的ミスを減らし、一貫した品質を保つことができます
実務での活用場面
SASTは以下のような場面で使われます:
- CI/CDパイプラインの構築・改善
- インフラのコード化(IaC)
- コンテナ環境・クラウドサービスの管理
まとめ
SAST は現代のDevOps・SRE業務に不可欠な技術です。各種ITツールも活用しながら、実践的なスキルを積み上げていきましょう。
関連用語
- DevSecOps
- DAST
- 脆弱性
- コード解析
関連する用語 (DevOps)
全58件を見る可観測性(Observability)
システムの内部状態を外部から観察できる能力。メトリクス・ログ・トレースの3本柱で構成され、複雑な分散システムの問題を効率的に特定・解決するための基盤となる。
CI/CD
継続的インテグレーション(CI)と継続的デリバリー/デプロイ(CD)の総称。コードをコミットするたびに自動でビルド・テスト・デプロイを行う開発プロセス。GitHub ActionsやJenkins・CircleCIなどのツールで実現する。
Blue-Green Deployment
ゼロダウンタイムデプロイ戦略の一つ。本番環境(Blue)と新バージョン(Green)を並行して稼働させ、トラフィックを切り替えてデプロイする。問題発生時に即座に切り戻せる。
IT用語: SRE(サイト信頼性エンジニアリング)とは|Googleが考案した運用手法
ソフトウェアエンジニアリングの手法で運用を改善するSREの概念とSLI・SLO・SLAの関係を解説。
Prometheus
オープンソースの監視・アラートツール。時系列データベースにメトリクスを収集し、PromQL(独自クエリ言語)で分析できる。Kubernetesとの親和性が高く、Grafanaと組み合わせて可視化するのが一般的。
Namespace
Kubernetesクラスタ内のリソースを論理的に分離する仕組み。開発・ステージング・本番環境の分離や、チーム間のリソース分割に使用する。デフォルトでdefault・kube-system等が存在する。