Sec サブ部門の境界定義
DevOps ステージ図 (Application Security Testing · Security Risk Management)は 原文 (英語) を参照してください。
このページが存在する理由
明確でない場合に備え、各機能セットに DRI を設けるという精神のもと、このページの目的は、どのエンジニアリンググループが製品のどの部分と特定の意思決定に責任を持つかを明示的に定義することです。
ページ/機能の責任
技術的な境界
エンドツーエンドの技術的ソリューションの所有権は複数のグループにまたがります。このセクションでは、Threat Insights と Sec セクションの残りのグループ間でのコードアーティファクトのクロスグループメンテナーシップを明確にします。
所有権とは、担当グループが以下の責任を持つことを意味します:
- コードのメンテナンスに責任を持つ。
- 関連コードに関連するエラーバジェットでの帰属を受ける。
- 変更前に相談を受け、マージ前にレビューを行う。
- 別のグループが導入した変更のメンテナンスと修正を要求する際に優先される。
プロジェクト/機能別のオーナー
これは包括的なリストではありませんが、Sec セクションの傘下にある主要なプロジェクトと機能領域を含みます。
比較とトラッキングロジック
脆弱性の比較とトラッキングのロジックは Threat Insights が所有します。
すべてのレポートタイプに汎用的でないこのロジックのカスタマイズは、対応するグループが所有します(例: Static Analysis グループは SAST 脆弱性のトラッキング改善のメンテナーとなります)。
コードを所有するグループを迅速に特定できない場合があります。エラーバジェット、CODEOWNERS、コードコメント、その他の手段による帰属がない場合、Threat Insights がオーナーを特定し、必要に応じて適切なグループに引き渡します。
セキュリティレポートスキーマ
スキーマは、対応するカテゴリを担当するアナライザーグループのバックエンドチームが所有します。
Threat Insights はベーススキーマと汎用詳細スキーマを所有します。
たとえば、Static Analysis グループは SAST カテゴリに責任を持つため、そのバックエンドチームが sast レポート JSON スキーマに責任を持ちます。
所有権に関係なく、スキーマに準拠したレポートのコンシューマーである Threat Insights はすべての変更をレビューする必要があります。
レビューを依頼する相手については、プロジェクトのガイドラインを参照してください。
脆弱性管理
これにはページ/機能の責任で Threat Insights に割り当てられたすべての項目が含まれ、さらに以下も含まれます:
- データベース管理システムオブジェクト
- オブジェクトリレーショナルマッピング
- 統合ポイント
- API
- セキュリティレポート取り込みフレームワーク
AI 脆弱性説明と脆弱性解決
これらのワークフローは、脆弱性ページの一部として Threat Insights が所有します(上記参照)。これには、モノリポへの統合、脆弱性ページでの表示、脆弱性解決のマージリクエストインターフェース、脆弱性説明のための Duo Chat への統合が含まれます。Threat Insights は、これらのチームが所有する領域への統合をサポートするため、AI Framework および Duo Chat と協力します。
脆弱性の種類に基づいて、脆弱性説明と脆弱性解決のプロンプト、テストデータセットのキュレーション、レスポンス品質の検証は、Secure の関連グループが所有します。これらのグループはプロンプトエンジニアリングのサポートのために必要に応じて Vulnerability Research および AI Framework とコミュニケーション・協力します。これらの機能は現在 SAST のみで利用可能です。
プロンプトは Secure チームが所有していますが、プロンプトエンジニアリングは AI Powered DevSecOps プラットフォームである GitLab でのソフトウェア開発の重要な部分です。Threat Insights を含む Govern 内のチームは、オンボードしてこれらの機能のプロンプトエンジニアリングをサポートし、フォローザサンカバレッジを通じてモノリポ内のプロンプト更新に必要に応じて協力できることが期待されます。
アプリケーション内のメトリクスと使用状況の監視は Govern: Threat Insights が所有します。関連 Issue。
