本ガイドは、Trust Agent のインストールから最も実用的な利用法を得るための管理者とプログラム関係者向け のものです。
フィルタ
メトリクスを検討する前に、 フィルタ に注目することが重要です(見落とされがちです!)。 これらは、レポ、チーム、タグごとにコミットを掘り下げて調査するのに非常に便利です。
- 、信頼度の低いコミットの割合が高いレポで、どの言語、貢献者、チームなどに言語固有のトレーニングが必要かを把握することができます。
- 特定のチーム(例えば「オフボーディングチーム」)をフィルタリングして、アクティブな開発者により関連性の高いデータにすることができます。
フィルタを組み合わせて分析を絞り込むことができます。特に注目すべきは Time: フィルタで、デフォルトは 3 か月ですが、12 か月まで拡張できます。指定した期間内にコミットが行われたコミット、レポ、言語、貢献者、チーム、タグのみがダッシュボードに表示されます。例えば、指定した期間内にコミットがないレポは、たとえそのレポのデータが古くても、リストには表示されません。
コミットの概要
信頼度の高いコミットの割合
この指標は、選択した期間内のすべてのコードコミットのうち、「信頼度が高い」と考えられるコミットの割合をパーセントで表示します。「高信頼」コミットは、開発者のスキルレベル(コミットで検出された言語に対する言語固有のアクティビティチェックを含む、個々の信頼スコア)および必須トレーニングコンテンツ(コース、アセスメント、クエスト)の完了に基づいて、組織で設定可能な信頼エージェント ポリシー構成に準拠しています。時間セレクタを変更することで、経時的な変化を見ることができます。
管理者のための実行可能な要点:
ポリシーを洗練する:Trust Agent の "Policy configuration "設定を見直してください。パーセンテージが非常に高い場合は、「高信頼」を真に反映させるためにポリシーをより厳しくすることを検討してください!
Contributors Making Commits
このメトリクスは、選択した期間内に少なくともひとつのコードコミットを作成した (一意ではない) 開発者の総数を表示します。これは、コードを貢献しているアクティブな開発者ベースの規模を示すものです。予想より少ない場合は、リポジトリのカバレッジにギャップがある可能性があります。予想より多い場合は、これまで知られていなかった開発者がコードを書いていることを発見し、開発者全体に普及させる機会を与えるかもしれません。
Languages With Commits
この指標は、選択した期間内のすべてのコードコミットで見つかったユニークなプログラミング言語とフレームワークの総数を表す単一の数値を表示します。この数値が高いほど、技術スタックがより多様であることを示します。時間の経過に伴う変化は、コードのリプラットフォームやリファクタリングの取り組みが進んでいる(あるいは進んでいない)ことを示す可能性があります。
Repositories with Commits
この指標は、選択した期間内に少なくとも 1 回のコミットがあったユニークなコードリポジトリの総数を 1 つの数値で表示します。現在活発な開発が行われているコードベースの数をすばやく把握することができ、セキュリ ティ対策全体の状況を把握しやすくなる。管理者やその関係者は、この数をセキュリティスキャナやその他のツールでカバーされているリポジトリと比較することで、包括的なカバレッジを確保できる。アクティブなリポジトリの数が多ければ多いほど、セキュリティリソースを拡大したり、詳細なセキュリティ分析のためにどのリポジトリに最も注意を払うべきか優先順位をつけたりする必要があることを示すかもしれません。
コミットアクティビティ
このメトリクスは、4つのカテゴリにわたるコミットアクティビティの時系列チャートを表示します:非コードコミット、低信頼コミット、中信頼コミット、高信頼コミットです。このデータはパーセンテージまたは実際のコミット数として表示することができ、コミットの信頼レベルが時間とともにどのように変化するかをダイナミックに表示します。
非コードコミット ( 灰色 ):
- 非コードコミットの割合が低い(10%程度)のは典型的な例ですが、常に高い割合でコミットされるのも珍しいことではありません。JSON) が開発者によって更新されている
- 依存関係の自動更新
- Trust Agent がまだサポートしていない言語やフレームワークのファイル(Trust Agent は現在、SCW プラットフォー ム上のコンテンツを持つ言語やフレームワークの検出のみをサポートしています)
コード以外のファイルが脆弱性(例えば、暗号の問題、セキュリティの誤設定など)をもたらす可能性があるため、コード以外のコミットの割合が高い場合は、通常、簡単な調査を行う価値があります。これは、単にエンジニアリングチームに非コードのコミットのいくつかをスポットチェックするように依頼するだけでよいのです。しかし、もし正しく検出されていない言語やフレームワークがあれば、お知らせください。調査結果にご満足いただけた場合は、フィルタバーの「非コードコミットを隠す」を切り替えることで、非コードコミットを簡単にフィルタリングすることができます。
低信頼コミット ( 赤 ):信頼度の低いコミットの割合が高い場合は、改善の余地があることを意味します。これは多くの場合、開発者が Secure Code Warrior(SCW)ライセンスを使っていないか、トレーニングを受けていないか、必要なレベルのトレーニングを修了していないことを示しています。このような事例を調査し、関連する開発者全員がプラットフォームを利用し、割り当てられたラーニングパスを進んでいることを確認する。
中程度の信頼コミット ( 黄色 ):信頼度が中程度のコミットは、通常、開発者が期待されるトレーニングをある程度完了していることを意味しますが、そのトレーニングがコミットするコードの言語と一致していない可能性があります。たとえば、ある開発者は Python のコードをコミットするかもしれませんが、Java のトレーニングしか受けていないかもしれません。信頼度が中程度のコミットに取り組む前に、まず信頼度が低いコミットに集中することで、開発者のリスクを最大限に低減することを推奨する。中程度の信頼度のコミットを排除するかどうかは、組織のリスク選好度に大きく依存する。低信頼コミットよりも重要度は低いものの、中信頼コミットはトレーニングの割り当てを微調整する機会を示しています。また、開発者が高信頼コミットへ移行するために、積極的に使用する言語に関連したトレーニングに参加するよう奨励することもできます。
高信頼コミット ( 緑 ):明らかに、高信頼コミットの数が多いことを望みます。 信頼度の高いコミットは、開発者が使用している言語について必要なトレーニングを一貫して行っていることを示しています。上記の「高信頼コミットの割合」と同様に、この割合が非常に高い場合は、「高信頼」を真に反映させるためにポリシーをより厳しくすることを検討してください。これらは、Trust Agent ポリシー構成の "Require skill level" および "Assign mandatory training content" 設定によって制御されます。
リポジトリ
このセクションでは、リポジトリ別の Trust Agent メトリクスを示します。すべてのリポジトリに精通しているわけではありませんが、エンジニアリングやセキュリティのリーダーは、通常、組織の重要なリポジトリを特定することができます。スキャナから)既知の脆弱性がある重要なレポ ティの低信頼コミットの割合が高い場合、大幅な手直しと開発者のトレーニングが必要であることが明らかであり、このデー タは強力なビジネスケースを構築するのに役立ちます。
管理者が取るべき行動:
重要なレポジトリの優先順位付け:
ターゲットを絞ったトレーニング:
リソースの正当化:
言語
このセクションでは、プログラミング言語別の Trust Agent メトリクスを提供します。このビューを「コミット活動」または「コミット合計」列でソートして、どの言語が最も活発に使用されているかを確認することは、しばしば役に立ちます。
管理者のための行動可能な要点:
カバレッジギャップを評価する: アクティブなコミットがある言語を、利用可能な Secure Code Warrior のトレーニングコンテンツと比較します。組織の技術スタックに合わせて適切な言語が学習プログラムに用意されていることを確認し、開発者が実際に受講するように促します。
信頼度の低い言語を調査します: 一貫して信頼度が低い、または中程度のコミット傾向の言語については、ポリシーで指定された学習コンテンツでこれらの言語が利用可能であることを確認します。
貢献者
このセクションでは、個々の開発者による Trust Agent メトリクスを表示します。重要なコミッターを優先するために、"コミット アクティビティ" でソートします。このビューは、個々の信頼レベルを理解するのに役立ちます。
管理者のための行動指針:
大量コミットをする開発者を優先する:
訓練を受けていないユーザーを特定する: SCW 以外のユーザーを招待する" を使って、コードをコミットしているがプラットフォームを利用していない開発者を見つけよう。
ユーザーデータをクリーンアップする: Bulk actions > Merge contributors" をドロップダウンセレクタで選択すると、管理者は複数の貢献者を1つのアカウントにマージできます。データの正確性を向上させ、トレーニングを適切なユーザーにリンクさせるために、企業以外のEメールやエイリアス(例えば、ユーザーが個人的なEメールアドレスを使用したり、最近のM&A、異なるビジネスユニットや親会社との関連付けの結果、異なるEメールエイリアスを持つなど)をマージします。
メールアドレスが git と SCW プラットフォーム間で照合できない場合、Trust Agent は貢献者のトレーニングポリシー遵守を判断することができないため、これは多くのお客様にとって Trust Agent の初期オンボーディングの重要な部分です。貢献者の電子メールをマージまたはマッピングする方法の詳細については、こちらの記事 を参照してください。
Teams
このセクションでは、SCW プラットフォームの Teams に割り当てられた開発者に基づく Trust Agent のメトリクスを提供します。これは、SCW 学習者に正常にマップされた貢献者のデータのみを含み、チーム情報が利用可能であることに注意してください。
管理者のための行動指針:
低信頼チームを調査する: 常に信頼度が低い、または中程度のコミット傾向のチームについては、トレーニングに適切な言語が利用できることを確認し、開発者に必要なトレーニングを完了するよう促します。
タグ
このセクションでは、SCW プラットフォーム内でタグを使用して定義したユーザーのカスタムグループ化またはコレクションに基づいて Trust Agent メトリクスを表示します。このセクションには、SCW 学習者に正常にマッピングされ、タグ情報が利用可能なコントリビューターのデータのみが含まれます。チーム" と同様に、このビューでは特定の貢献者のセキュリティ状態を評価することができます。タグを使用して、標準的なチーム構造では表されない独自のプロジェクトグループ、イニシアチブ、または部門横断的な取り組みの信頼レベルを分析することができます。
管理者のための行動可能な要点:
目標とするトレーニングのニーズを特定します: 特定のタグで、信頼度の低い、または中程度のコミットの割合が高い場合は、そのタグに関連する貢献者に合わせたトレーニングプログラムを構成する必要があることを示している可能性があります。
ポリシーの実施をサポートする: タグは、特定の種類のコードやプロジェクトのセキュリティポリシーの実施と監視を支援し、タグ付けされたグループ内で関連するトレーニングが適用され、遵守されるようにする。
コメント
0件のコメント
記事コメントは受け付けていません。