ASPM v1.5.0
I. ハイライト
FPT Smart Cloud は FPT Security Platform (FSP) の AppSec の新バージョンをリリースします。Security Gate を通じて MR/PR ワークフロー内でソースコードのセキュリティを直接制御できます。
本バージョンでは、Code Analysis、Secret Scanning、IaC Scanning などのスキャン種別ごとに設定可能な threshold に基づいて、スキャン結果から自動的に PASS/FAIL を評価するメカニズムが追加されます。これにより、許容範囲を超える脆弱性や secrets を含むソースコードがメインブランチにマージされることを防ぐことができます。また、CI/CD pipeline 経由のマージスキャンモード、MR/PR スキャン用の cURL サンプル、DevSecOps 統合向けの API 経由の結果返却もサポートします。
II. リリース機能
1. MR/PR Scan
a. 説明
CI/CD pipeline 経由で MR/PR スキャンをトリガーし、メインブランチへのマージ前にソースコードの品質とセキュリティを確認できます。本バージョンでは、MR/PR フロー内でスキャン結果を直接評価するマージスキャンモードが追加されます。
b. 機能
- CI/CD pipeline 経由での MR/PR スキャントリガー
- MR/PR ワークフロー向けマージスキャンモード
- マージスキャンモード用 cURL サンプル: Scan Code および Scan Secret
- CI/CD pipeline 統合のための API 経由スキャン結果返却
- Security Gate と組み合わせた PASS/FAIL 評価
c. キャパシティ
- 複数の MR/PR リクエストの同時スキャン
- 複数の CI/CD pipeline タイプとの統合
- 単一の MR/PR ワークフロー内での複数セキュリティスキャン種別
d. パフォーマンス
- API 経由の高速スキャントリガー
- pipeline 内でのスキャン結果の自動返却
- MR/PR ワークフロー向けの最適化されたスキャン処理
2. Security Gate
a. 説明
Security Gate は、Security Conditions を適用することで MR/PR マージ前のソースコードセキュリティを制御します。設定された threshold に基づいてスキャン結果を評価し、各 MR/PR の PASS または FAIL を決定します。
b. 機能
- 組織ごとの Security Gate の Enable / Disable
- Security Gate ステータス表示: Active / Inactive
- 設定済み Security Conditions に基づく MR/PR スキャンの評価
- スキャン種別ごとの threshold 設定: Code Analysis、Secret Scanning、IaC Scanning
- severity ごとの threshold 設定: Max Criticals、Max Highs、Max Mediums、Max Lows
- Edit 機能による Security Gate 設定の編集
- repository リストへの Security Gate 適用
- repository path による repository 検索
- 新たにスキャンされた repository への Security Gate 自動適用
- Security Gate の Enable / Disable 時の確認ポップアップ
- CI/CD pipeline 内での API 経由 PASS/FAIL 結果返却
- Asset Management および Asset Detail → Overview タブでの Security Gate ステータス表示
c. キャパシティ
- 複数の repository に対する Security Gate の管理と適用
- 単一ポリシー内での複数セキュリティスキャン種別の同時処理
- 設定済み repository scope での MR/PR スキャン処理
d. パフォーマンス
- 高速な Security Gate 画面読み込み
- Enable / Disable ステータスの高速更新
- repository リストと security conditions の最適化された表示
- 現在の Security Gate 設定に基づく MR/PR 評価の自動処理