組み込みシステムなどのモノリシック・アーキテクチャのアプリケーションからマイクロサービス・アーキテクチャのアプリケーション開発まで、開発対象によってセキュリティテストはどのように組み合わせることができるでしょうか。SAST/DAST/IAST/SCA/Fuzzingなど異なるセキュリティテストの組み合わせ、また、開発パイプラインの構成の基本などについて概論します。
モノリシック(アーキテクチャ)とは細分化されていないひとつのアプリケーションで、IoTやクラウドアプリなどは機能ごとに細分化され蘇結合によって動作するものはマイクロサービス(アーキテクチャ)とされています。機能単位での細分化ではなく、ドメイン単位での細分化されたものが「モダンアプリ」と言われ、ゼロトラストをアプリケーションに直接実装するのに適した構造になります。
これらの違いを解説しつつ、それぞれの開発に適したSDLCの例と各セキュリティテストの目的と効果を示し、自分たちの開発プロセスで何が足りていないのか、考えていただけるようにすることで、より効果的なセキュリティテストの実践につなげていきます。