Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DevSecOps入門しました
Search
auoie
July 18, 2024
0
180
DevSecOps入門しました
2024/07/18 2024 Japan AWS Jr. Champions勉強会
auoie
July 18, 2024
Tweet
Share
More Decks by auoie
See All by auoie
AWSセキュリティに入門した話
auoie
3
180
会社と若手を強くするコミュニティの活用法
auoie
1
180
TransitGatewayをクロスアカウント・クロスリージョンで接続してみた
auoie
2
170
AWS3年目、TypeScript初心者がCDK を使いこなせるのか?第一歩で感じたハードルとメリット
auoie
1
2.1k
Featured
See All Featured
Thoughts on Productivity
jonyablonski
70
4.8k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
46
7.6k
Designing for humans not robots
tammielis
254
25k
YesSQL, Process and Tooling at Scale
rocio
173
14k
Testing 201, or: Great Expectations
jmmastey
45
7.7k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.5k
GitHub's CSS Performance
jonrohan
1032
460k
A better future with KSS
kneath
239
17k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
8
950
The Language of Interfaces
destraynor
162
25k
Scaling GitHub
holman
463
140k
Writing Fast Ruby
sferik
629
62k
Transcript
DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie
⾃⼰紹介 • Mayuko Ide/@mayuko_auoie • 株式会社サーバーワークス所属 • 2021/04〜 • 業務内容
• SRE系 • AWS環境構築 • 運⽤
⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •
CI/CDパイプライン
⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •
CI/CDパイプライン ↑ここに静的解析を入れよう!!!
⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •
CI/CDパイプライン ↑ここに静的解析を入れよう!!! DevSecOps
Agenda • DevOps • DevSecOps • 実装⽅法 • 実装例 •
まとめ
DevOps
DevOps 「開発(Development)」 「運⽤(Operations)」 概要 メリット 開発からデプロイ・運⽤まで⼀つのチームで管理することで 俊敏性を⾼め、安定したサービスを提供できる 著作者: Kharnagy CC
表⽰-継承 4.0 https://commons.wikimedia.org/w/index.php?curid=51215412
DevOps • CI/CD • マイクロサービス • Infrastructure as Code •
⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティ ベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html
DevOps • CI/CD • マイクロサービス • Infrastructure as Code •
⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティ ベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html
DevOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト
DevSecOps
DevSecOps 「開発(Development)」 「運⽤(Operations)」 「セキュリティ(Security)」 概要 メリット 開発プロセスの早い段階からセキュリティ取り⼊れ 脆弱性を早期に発⾒し、修正する
DevOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト
DevSecOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト
DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進 ベストプラクティス
https://aws.amazon.com/jp/what-is/devsecops/
DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進 ベストプラクティス
ローカル 開発 ソース コード ビルド テスト デプロイ セキュリティへの取り組みを早い段階へ移す
実装⽅法
実装⽅法 ローカル 開発 ソース コード ビルド テスト デプロイ (Stg) デプロイ
(Prd) CI/CDパイプライン IDEプラグイン Pre-Commit 静的解析(SAST) ソフトウェア構成解析(SCA) ライセンスチェック 動的解析(DAST)
IDEプラグイン・Pre-Commit • IDEプラグイン • コードレビュー、改善⽅法の提案などを受けられる • AIの活⽤ • Amazon Q
Developerなど • Pre-Commit • git commiの前に指定した処理を実⾏する • 処理は⾃分で指定 • 例えば、アクセスキーなどの機密情報が含まれていないかをチェック
静的解析・ソフトウェア構成解析・ライセンスチェック • 静的解析 • 後ほど… • ソフトウェア構成解析 • OSSに脆弱性がないかをチェックする •
ライセンスチェック • ライセンスの使い⽅などに問題がないかをチェックする
動的解析(DAST) • 動的解析 • アプリケーションを動作させて解析を⾏う • 静的解析とあわせて使うことで検知内容を補完できる • OWASP ZAPが有名︖
実装例
静的解析(SAST) • ソース コードを静的にスキャンし脆弱性を検知する Amazon CodeGuru Security GitHub Code Scanning
まとめ
まとめ • ソフトウェアサプライチェーン全体で対応が必要 • パイプライン⾃体のセキュリティ対応も必要 • 導⼊するだけでなく脆弱性が検知されたときの対応検討が必要 • ガイドラインの作成 •
開発者の環境の統⼀ • ワークショップもあります︕ • Security for Developers • https://catalog.workshops.aws/sec4devs/ja-JP
ご清聴ありがとうございました
DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie