Checkmarx は、クラウドネイティブ アプリケーションのセキュリティを保護するオープン ソースの静的解析ソリューション KICS をリリースしました。

Checkmarx は最近、オープンソースの静的解析ソリューションであるKICS (Keeping Infrastructure as Code Secure) をリリースしました。これにより、開発者はより安全な Infrastructure as Code (IaC) を記述できるようになり、従来のアプリケーションやクラウドネイティブ アプリケーションの独自コード、オープンソース コンポーネント、重要なインフラストラクチャ セキュリティを保護するための独立したプラットフォームが提供されます。無料ダウンロードアドレス: https://docs.kics.io/getting-started/。 Checkmarxは3月30日午後4時から5時まで、KICSオンラインライブデモンストレーション講演会を開催します。ぜひご参加ください！

+ なぜKICSを開発したのですか?

クラウド ネイティブの出現により、最新のアプリケーションの設計、開発、展開方法の概念が完全に変わりました。最終的に、モノリシック アプリケーションは、環境によって制約されない、小さく独立したマイクロサービスに分割されます。オーケストレーションによってこれらが結合され、アプリケーションのスケーラビリティ、信頼性、柔軟性が向上します。

この文脈では、オーケストレーションはマイクロサービスの通信や構成の方法だけでなく、インフラストラクチャの要件や特定の構成についても関係します。つい最近まで、インフラストラクチャと構成は主に手動で提供されていましたが、DevOps 哲学の出現により、自動化が普及し、コードで定義されるようになりました。したがって、 Infrastructure as Code (IaC) の時代が到来しました。

[[389553]]

IaC は、コードによるインフラストラクチャ構成とサービス配信のためのツールとテクノロジーを通じてアプローチを確立します。 Infrastructure as Code の利点には、自動化、べき等性 (テストと本番環境のインフラストラクチャの複製など)、一貫性、自己文書化、コスト削減などがあります。ただし、従来のソフトウェア開発と同様に、Infrastructure as Code は、構成ミスやセキュリティの脆弱性などの問題が発生しやすく、特定のアプリケーションだけでなく、ビジネス全体とその基盤となるインフラストラクチャをより大規模に危険にさらす可能性があります。

KICS (Keeping Infrastructure as Code Secure) のご紹介: 静的コード分析のマーケットリーダーである Checkmarx のオープンソース スタンドアロン エンジンで、ネイティブ クラウド アプリケーションのコンテキストで Infrastructure as Code に起因する脆弱性、コンプライアンスの問題、または誤った構成を検出します。公開日時点で、KICS はすでに 1,000 を超えるセキュリティ ルール (Cx 言語でクエリ) を提供し、複数のクラウド プロバイダー (AWS、Google Cloud、Microsoft Azure など) にわたって Terraform、Kubernetes、Docker、AWS CloudFormation、Ansible をサポートしています。

+ KICS をどのように開発するのでしょうか?

当初、KICS には 50 個のクエリしかなく、プライベート リポジトリに休止状態で保存され、スタンドアロン エンジンとして存在していました。当時、エンジンは少数の IaC ファイル タイプを読み取り、それを内部表現に変換し、結果を JSON 形式で生成することしかできませんでした。

KICS を製品化するために、Checkmarx は、3 か月以内に 1,000 件の REGO/OPA クエリを達成し、2 か月以内に完全にオープン ソースにするという野心的な目標を設定しました。

KICSルール - REGOを使用して1,000以上のルールを作成します

2 週間以内に、Checkmarx は優秀な学生グループを募集し、チームに参加して REGO を使用して開発されたルールをさらに作成することに集中しました。

REGO/OPA は、構造化ドキュメントをクエリするための高レベルの宣言型言語です。したがって、IaC スキャン ルールを取得する方法としてこれを選択しました。学生たちはすぐに REGO を使用した開発方法を習得し、1 週間未満のトレーニングで、Checkmarx アプリケーション セキュリティ リサーチ チームが提供する推奨脆弱性リストと説明に従って、ルールと IaC サンプル (クエリごとに 1 つの真陽性と 1 つの真陰性) を作成しました。

• 1,000 個のルールを作成するという目標は大きな課題でした。私たちはプロセスを設計に合わせて調整し、Rego コードの重複を避けるために再利用可能なリポジトリを作成しました。

興味深いことに、これが完了すると、開発自体ではなく、マージ リクエストの承認を得ることが課題になりました。最終期限までに、チームは 1,000 クエリのマイルストーンに到達しただけでなく、それを (約 1,200 上回り) 上回りました。

KICS コア - オープンソース クエリ

コア チームの当初の焦点は、KICS を完全にオープン ソースにすることです。

プロジェクトのオープンソース ソフトウェア コンサルタントである Lior Kaplan 氏の綿密な監督とアドバイスを受けて、Checkmarx はプライベート リポジトリへの依存を断ち切り、コミット履歴をより適切なレベルに書き直し、Apache 2.0 ライセンスの下でパブリック GitHub リポジトリに移行しました。

https://github.com/Checkmarx/kics。

このプロセス中に、Checkmarx は GitHub Actions を使用して CI パイプラインを構築し、すべての KICS インフラストラクチャを GitHub 環境に保持しました。すぐに、コードマージリクエストに基づいて、パイプラインを通じて一連の検証が実行されます。いくつかの品質面を取り上げます:

• コードテストカバレッジ（Codecov を使用）
• コード品質 (SonarCloud と Codacy を使用)
• コード セキュリティ (Checkmarx の CxSAST と、KICS GitHub アクション経由の当社独自の KICS を使用)

これらの検証はすべて驚くほど高速で、約 1 分しかかかりません。これは、プル リクエストが成功した後に KICS をリリースできる状態にするのにかかる時間です。

各 CI ステップで品質レベルが合格している限り、KICS はいつでもリリースできます。オープンソースのベストプラクティスに従って、以下を作成しました。

• ナイトリーリリースは、対応するコミットのハッシュを使用して名前が付けられます。
• 公式バージョンは、SemVer 標準を使用して 2 週間ごとにリリースされます。

各 KICS リリースには、ベア ソース、Windows、Linux、MacOS バイナリ、および DockerHub で入手可能な Docker イメージが含まれています。

KICS 文書 - 富の共有

KICS は、複数の種類の IaC ファイルを分析できる強力なコア機能を備えており、2 週間ごとに継続的にリリースされる数千のセキュリティ ルールを備えています。

これを実現するために、Checkmarx は Web サイトを構築し、それを AWS に保存しました。しかし、これは単なるきれいなログインページです。ドキュメント サイトは、MkDocs を通じてマークダウン ファイルに基づいて動的に生成されます。詳細については、GitHub ページを参照してください。

Checkmarx は、ロードマップや使用方法や貢献方法に関する説明など、プロジェクトのあらゆる側面を網羅し、KICS ドキュメントを可能な限り明確でわかりやすいものにするよう努めてきました。さらに、Gitterを使用したKICSコミュニティを構築しました。一部の人々はコメントし、質問し、即座にフィードバックを提供し始めました。

KICS管理——アジャイルかつ標準化

チームはカンバン管理方式に従ってアジャイルな方法で作業します。 GitHub の統合管理機能を簡単に利用できるため、この方法で作業を管理するのは簡単になります。

Checkmarx は、作業を小さなプロジェクトに分割し、対処すべき問題や要求をより適切に整理するために、それぞれの目標を設定します。それぞれの未解決の問題には、バグ、機能、セキュリティ、クエリ、機能強化などのラベルが付けられ、その性質を理解しやすくなります。

KICS ユーザーからの貢献をガイドし、より適切に管理するために、Checkmarx は脆弱性、機能、新しいクエリ、およびコード マージ リクエストのテンプレートを定義しました。テンプレートを使用すると、重要な情報を取得し、最終的に記述された作業の品質を標準化できます。

全体として、KICS はアーキテクト、開発者、DevOps、マネージャーで構成される多分野にわたるチームです。現在、一部のフォロワーが KICS にさらなる貢献やフィードバックなどを提供しています。Checkmarx は、さらに多くのユーザーからのご意見をお待ちしています。

ぜひCheckmarx製品をご利用ください。 KICS を無料でダウンロードして、フィードバックをお寄せください。最も詳細なフィードバックを提供した最初の 30 名様には、1,000 人民元相当の JD バウチャーをプレゼントします。

さらに、Checkmarx は 3 月 30 日の北京時間午後 4 時から 5 時まで、KICS のライブ オンライン デモンストレーションを実施し、オンラインで質問に回答します。皆様のご参加を心よりお待ちしております！

[編集者：張燕妮 TEL: (010) 68476606]