アトラシアンにおけるソフトウェア開発時のセキュリティ


アトラシアンのソフトウェア開発過程でのセキュリティに対する配慮

アジャイルプロセスには、通常、明確な SDLC フェーズはないため、セキュリティチェックポイントを通じてリリースをゲート制御する旧式のアプローチと重複することはありません。

同時に、アジャイルワークフローは、クラウドサービスを筆頭に、脆弱性の迅速な修正にも役立ちます。アトラシアンでは、発見されたセキュリティ上の問題の修復期限に関して厳しい内部規定を設けています。

新規コードのリリース前に実施されるセキュリティ検査

アトラシアンでは、すべての製品について、「ゲート」式の審査でなく、継続的にセキュリティを評価する方式を採用しています。

開発者はコードを定期的に見直し、事前コミット (一部のケースでは事後コミット) します。ただし、こうした見直しの目的はセキュリティに限定されません。アトラシアンのセキュリティチームは、手動またはツールによって、対象を定めたコードの見直しを定期的に実施しています。また、第三者の監査人と契約して、すべての製品を対象に広い範囲でセキュリティコードの見直しも随時実施しています。

また、独立した立場の第三者と Atlassian Cloud 製品の継続テスト契約を締結し、発見事項を内部の開発プロセスに反映しています。

Web アプリケーションへの常套的な攻撃手法 (XSS、SQL インジェクション、CSRF など) に対する保護方法

方法は製品に応じて異なります。複数の製品で使用される機能もあれば、そうでないものもあります。開発者教育カリキュラムに含まれる記事「Securing your Plugin (プラグインのセキュリティ対策)」では複数製品の制御について説明しています。