Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DevSecOps入門しました

auoie
July 18, 2024
0
150

 DevSecOps入門しました

2024/07/18 2024 Japan AWS Jr. Champions勉強会

auoie

July 18, 2024
Tweet

More Decks by auoie

See All by auoie
TransitGatewayをクロスアカウント・クロスリージョンで接続してみた
auoie
2
100
AWS3年目、TypeScript初心者がCDK を使いこなせるのか?第一歩で感じたハードルとメリット
auoie
1
1.9k

Featured

See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
44
2.2k
A designer walks into a library…
pauljervisheath
204
24k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
Designing for Performance
lara
604
68k
Practical Orchestrator
shlominoach
186
10k
Docker and Python
trallard
40
3.1k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
840
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k

Transcript

  1. DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie

  2. ⾃⼰紹介 • Mayuko Ide/@mayuko_auoie • 株式会社サーバーワークス所属 • 2021/04〜 • 業務内容

    • SRE系 • AWS環境構築 • 運⽤

  3. ⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •

    CI/CDパイプライン

  4. ⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •

    CI/CDパイプライン ↑ここに静的解析を入れよう!!!

  5. ⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •

    CI/CDパイプライン ↑ここに静的解析を入れよう!!! DevSecOps

  6. Agenda • DevOps • DevSecOps • 実装⽅法 • 実装例 •

    まとめ

  7. DevOps

  8. DevOps 「開発(Development)」 「運⽤(Operations)」 概要 メリット 開発からデプロイ・運⽤まで⼀つのチームで管理することで 俊敏性を⾼め、安定したサービスを提供できる 著作者: Kharnagy CC

    表⽰-継承 4.0 https://commons.wikimedia.org/w/index.php?curid=51215412

  9. DevOps • CI/CD • マイクロサービス • Infrastructure as Code •

    ⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティ ベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html

  10. DevOps • CI/CD • マイクロサービス • Infrastructure as Code •

    ⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティ ベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html

  11. DevOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト

  12. DevSecOps

  13. DevSecOps 「開発(Development)」 「運⽤(Operations)」 「セキュリティ(Security)」 概要 メリット 開発プロセスの早い段階からセキュリティ取り⼊れ 脆弱性を早期に発⾒し、修正する

  14. DevOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト

  15. DevSecOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト

  16. DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進 ベストプラクティス

    https://aws.amazon.com/jp/what-is/devsecops/

  17. DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進 ベストプラクティス

    ローカル 開発 ソース コード ビルド テスト デプロイ セキュリティへの取り組みを早い段階へ移す

  18. 実装⽅法

  19. 実装⽅法 ローカル 開発 ソース コード ビルド テスト デプロイ (Stg) デプロイ

    (Prd) CI/CDパイプライン IDEプラグイン Pre-Commit 静的解析(SAST) ソフトウェア構成解析(SCA) ライセンスチェック 動的解析(DAST)

  20. IDEプラグイン・Pre-Commit • IDEプラグイン • コードレビュー、改善⽅法の提案などを受けられる • AIの活⽤ • Amazon Q

    Developerなど • Pre-Commit • git commiの前に指定した処理を実⾏する • 処理は⾃分で指定 • 例えば、アクセスキーなどの機密情報が含まれていないかをチェック

  21. 静的解析・ソフトウェア構成解析・ライセンスチェック • 静的解析 • 後ほど… • ソフトウェア構成解析 • OSSに脆弱性がないかをチェックする •

    ライセンスチェック • ライセンスの使い⽅などに問題がないかをチェックする

  22. 動的解析(DAST) • 動的解析 • アプリケーションを動作させて解析を⾏う • 静的解析とあわせて使うことで検知内容を補完できる • OWASP ZAPが有名︖

  23. 実装例

  24. 静的解析(SAST) • ソース コードを静的にスキャンし脆弱性を検知する Amazon CodeGuru Security GitHub Code Scanning

  25. まとめ

  26. まとめ • ソフトウェアサプライチェーン全体で対応が必要 • パイプライン⾃体のセキュリティ対応も必要 • 導⼊するだけでなく脆弱性が検知されたときの対応検討が必要 • ガイドラインの作成 •

    開発者の環境の統⼀ • ワークショップもあります︕ • Security for Developers • https://catalog.workshops.aws/sec4devs/ja-JP

  27. ご清聴ありがとうございました

  28. DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie