Search Unity

SSDLC(Secure Software Development Life Cycle)のオープンアクセス化について

, 12月 4, 2019

Unity の開発業務が皆様へより貢献できるように、弊社内部でのセキュアソフトウェア開発ライフサイクル (Secure Software Development Life Cycle: SSDLC) をオープンなバージョンとして、共有状態にいたしました。これにより、皆さまと共に開発上のベストプラクティスの在り方を新しく変えるような、改良を行っていただける機会をご提供できることとなりました。

Unity のセキュリティチームは、コードベースのセキュリティの品質を保つため、Unity で勤務する開発者向けに SSDLC について文書化しました。この文書は、多岐に渡るソースから参照されたものや、Unity セキュリティーチームの培った経験と業務上のベストプラクティスから昇華されたものが詰まった内容となっています。

この情報については、徹底的に網羅していたり、出来上がっているわけでもなく、また完璧とも言えないのですが、まず公開といたしました。広範なオープンソースライセンスの下でUnity の SSDLC は現在公開中となっております。

こういった一連の文書をオープンな形で公開することで、広くセキュリティに関するコミュニティへ貢献することだけでなく、それぞれ独自に SSDLC の定義付けや開発を行う、その過程における他のチームへの一助ともなれば幸いです。

さらに、私共は今回は Unity のセキュリティエンジニアの素晴らしい仕事ぶりをご覧いただく、めったにない機会とも考えております。セキュリティエンジニアとしての業務というものは影の立役者たることが少なくなく、業界の基準となるようなプラクティスを確立したとしても、ほとんどその栄誉を受けることがありません。なにより、著作権と氏名の表示の権利については、本文書における核となる信条です。もし、他の企業の方が本文書が採用される機会などあるのでしたら、私共としてはその企業の方をお招きし、その企業の方のお客様へ、弊社もまた共有する機会を得る…ということも同様にありうるべきです。終わりに、私共はクリエイターの方や、お客様に対して、それぞれの真摯な労働を守るために、可能な限り最高の助言を提供できるようにしたいと考えております。そのため、この度は弊社の製品を守るための段階的な対策についても、いくつかお話する良い機会かと考えております。

SSDLC はどんな内容ですか?

Coding Practice では、ソースコードの観点から一般的なセキュリティのベストプラクティスを捉えています。ここでは、「API best practices」、「Preventing Common Web Attacks」、および「 Secrets Managementあたりが開発者の方向けとしてお薦めです。

Language Best Practices セクションでは、Node.jsGolangC#、そしてRuby における推奨事項を示しつつ、様々なプログラミング言語で具体的に、セキュリティ上の考慮事項について説明しています。このセクションについてはもっと広がりが出るよう手助けをしていただければ、と思う部分です。なにせ、世界にはたくさんの言語がありますから!

Security Process の記事は、技術的な部分が最も少ないかもしれませんが、おそらく最もポテンシャルとしては重要な部分だと言えるでしょう。このセクションは、あなたの組むプログラムの整合性を確立し、組織においてはリスクを適切に優先順位をつけて判別するプロセスを提供することに役立ちます。この部分については、「Bug Bar」、Risk Ratingシステム」、Security Requirements」、そして「Design」と「Implementationなどが GitHub の記事で書かれております。

今オープンソースリリースにおける、Unity 内部でのセキュリティツールについては、ある程度チームの準備が整い次第「Tools and Automation and Training」セクションで追加される予定です。

SSDLC を使いたい?ぜひお使いください!

SSDLC は、ユーザーが独自に使用できるように設計いたしました。これは、言うなればこのリポジトリをクローンでもフォークでもしていただけますし、検索と置換で「Unity」を例えば「WidgetCo.,」として開発者の方々へ共有していただいても良い、ということでもあります。このプロジェクトの成功の鍵となるのは、リポジトリをクローンして、改めて利用していただくことにあります。

本リリースはまだ序章です。皆さまからのフィードバックをお待ちしています。ぜひフォークして、もっと使いやすくしてみてください(そして、その刷新されたバージョンを弊社が取り入れて、Unity としての改善として採用できるかもお伝えいただければ嬉しく思います)。ただ、コントリビューションガイドラインは順守していただくことだけはお忘れなく、その上であなたの知見をコミュニティで共有していただければ幸いです。弊社のベストプラクティスがコミュニティのご意見と融合し、新たなひとつのフレームワークへと変わる日を迎えるのを楽しみにしています!

 

Unity SSDLC にアクセスする

 

4 replies on “SSDLC(Secure Software Development Life Cycle)のオープンアクセス化について”

Comments are closed.