SAST
Static Application Security Testing(静的アプリケーションセキュリティテスト)の略。ソースコードを実行せずに静的解析して脆弱性を検出する手法。SonarQube・Checkmarx等が代表的ツール。
SASTとは?
Static Application Security Testing(静的アプリケーションセキュリティテスト)の略。ソースコードを実行せずに静的解析して脆弱性を検出する手法。SonarQube・Checkmarx等が代表的ツール。
SASTが重要な理由
DevOpsエンジニアにとって SAST は現代のインフラ・開発運用において核心的な技術です。クラウドネイティブな環境では、この概念と実装スキルを持つことが標準的に求められるようになっています。
主要なポイント
- 自動化: SASTを活用することで、繰り返し作業をコード化・自動化できます
- スケーラビリティ: 大規模システムの運用・管理が効率化されます
- 信頼性: 人的ミスを減らし、一貫した品質を保つことができます
実務での活用場面
SASTは以下のような場面で使われます:
- CI/CDパイプラインの構築・改善
- インフラのコード化(IaC)
- コンテナ環境・クラウドサービスの管理
まとめ
SAST は現代のDevOps・SRE業務に不可欠な技術です。各種ITツールも活用しながら、実践的なスキルを積み上げていきましょう。
関連用語
- DevSecOps
- DAST
- 脆弱性
- コード解析
関連する用語 (DevOps)
全41件を見るkubectl
Kubernetesクラスタを操作するCLIツール。kubectl get pods・apply・delete等のコマンドでK8sリソースを管理する。クラスター管理者の日常ツールとして欠かせない。
IaC
Infrastructure as Code(コードとしてのインフラ)の略。インフラ構成をコードで記述・管理することで、自動化・バージョン管理・再現性を実現する考え方。TerraformやAnsibleが代表的ツール。
DevSecOps
DevOpsのプロセスにセキュリティ(Sec)を統合した開発文化。開発・テスト・デプロイの各フェーズにセキュリティチェックを組み込み、安全なシステムを継続的に提供する。SAST・DAST等のツールが活用される。
ECR
Amazon Elastic Container Registryの略。AWSが提供するフルマネージドなDockerコンテナレジストリ。ECSやEKSと密に統合されており、IAMポリシーでアクセス管理できる。
ELK Stack
Elasticsearch・Logstash・Kibanaの3ツールの組み合わせ。ログの収集(Logstash)・保存・検索(Elasticsearch)・可視化(Kibana)をセットで提供する定番ログ分析基盤。
Istio
Kubernetesで動作するオープンソースのサービスメッシュ実装。Envoyプロキシをサイドカーとして各Podに注入し、トラフィック管理・セキュリティ・可観測性を提供する。