アトラシアン、ソフトウェアの欠陥レポートを Jira にパイプする • The Register
アトラシアンは、Jira 課題トラッカーで追跡する問題のカテゴリがもう 1 つ必要であると判断しました。それは、セキュリティ上の欠陥です。
Atlassian の DevOps 製品責任者である Suzie Prince 氏は、開発者は日々複数のツールを使用しているため、セキュリティ問題を伝えるのが難しいと The Register に語った。 また、それらを修正することが、ソフトウェア プロジェクトのすべての関係者に関わるワークフローに組み込まれないことを意味する可能性もあると彼女は付け加えた。 運用部門や情報セキュリティのサイロ内でセキュリティの問題が悪化すると、どの修正を優先すべきか、またその理由を知るのが難しいため、より広範囲の可視性が重要だとプリンス氏は主張します。
アトラシアンの答えは、Snyk、Mend、Lacework、StackHawk、JFrog からの情報フィードをタップして、Jira の新しい [セキュリティ] タブにロードすることです。そこでは、セキュリティ関連の問題をすべての関係者が確認でき、自動化されたワークフローによって作業が適切に振り分けられます。人々。 アトラシアンは、ユーザーが優先順位を付けるのに役立つように重大度スコアを解析します。
プリンス氏は、顧客がこの種のものを自分で構築しようとしているのをアトラシアンが見て、同社が製品化したと語った。
レジスターはプリンスに対し、欠陥が広範囲に可視化されることによるマイナス面があるかどうかを尋ねた。 私たちは、開発者と協力するプロダクト マネージャーが巨大な欠陥 (ユビキタスな Apache Log4j ログ ライブラリの Log4Shell 脆弱性の重要度に近いもの) のニュースを読み、Jira キューでそれを確認する能力を利用して、他の問題の方が重要である可能性があることを理解せずに修正を注文すること。
「遠慮するのがプロダクト マネージャーの仕事です」と彼女は認めた後、欠陥修正のワークフローを 1 か所で管理できるということは、プロジェクトの最上位にある修正について話し合う機会が得られることを意味すると主張しました。 -やるべきことのリストとその理由を説明すると、神経質な非技術者は潔く撤退するかもしれません。
新しいセキュリティ機能は Jira Software Cloud に組み込まれており、現在すべてのユーザーがアクセスでき、既存のライセンスでカバーされています。 アトラシアンはさらに多くのセキュリティ ベンダーとの統合を追加する予定ですが、統合の名前やスケジュールについては明らかにできませんでした。 ®
ニュースを送ってください
4 4 4 を入手