Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DevSecOps入門しました
Search
auoie
July 18, 2024
0
170
DevSecOps入門しました
2024/07/18 2024 Japan AWS Jr. Champions勉強会
auoie
July 18, 2024
Tweet
Share
More Decks by auoie
See All by auoie
AWSセキュリティに入門した話
auoie
3
140
会社と若手を強くするコミュニティの活用法
auoie
1
160
TransitGatewayをクロスアカウント・クロスリージョンで接続してみた
auoie
2
160
AWS3年目、TypeScript初心者がCDK を使いこなせるのか?第一歩で感じたハードルとメリット
auoie
1
2k
Featured
See All Featured
Music & Morning Musume
bryan
46
6.7k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
35
2.4k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
48
2.9k
Balancing Empowerment & Direction
lara
1
440
Mobile First: as difficult as doing things right
swwweet
223
9.7k
It's Worth the Effort
3n
185
28k
Side Projects
sachag
455
42k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
357
30k
How to Ace a Technical Interview
jacobian
278
23k
What's in a price? How to price your products and services
michaelherold
246
12k
KATA
mclloyd
30
14k
The Art of Programming - Codeland 2020
erikaheidi
54
13k
Transcript
DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie
⾃⼰紹介 • Mayuko Ide/@mayuko_auoie • 株式会社サーバーワークス所属 • 2021/04〜 • 業務内容
• SRE系 • AWS環境構築 • 運⽤
⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •
CI/CDパイプライン
⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •
CI/CDパイプライン ↑ここに静的解析を入れよう!!!
⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •
CI/CDパイプライン ↑ここに静的解析を入れよう!!! DevSecOps
Agenda • DevOps • DevSecOps • 実装⽅法 • 実装例 •
まとめ
DevOps
DevOps 「開発(Development)」 「運⽤(Operations)」 概要 メリット 開発からデプロイ・運⽤まで⼀つのチームで管理することで 俊敏性を⾼め、安定したサービスを提供できる 著作者: Kharnagy CC
表⽰-継承 4.0 https://commons.wikimedia.org/w/index.php?curid=51215412
DevOps • CI/CD • マイクロサービス • Infrastructure as Code •
⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティ ベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html
DevOps • CI/CD • マイクロサービス • Infrastructure as Code •
⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティ ベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html
DevOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト
DevSecOps
DevSecOps 「開発(Development)」 「運⽤(Operations)」 「セキュリティ(Security)」 概要 メリット 開発プロセスの早い段階からセキュリティ取り⼊れ 脆弱性を早期に発⾒し、修正する
DevOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト
DevSecOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト
DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進 ベストプラクティス
https://aws.amazon.com/jp/what-is/devsecops/
DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進 ベストプラクティス
ローカル 開発 ソース コード ビルド テスト デプロイ セキュリティへの取り組みを早い段階へ移す
実装⽅法
実装⽅法 ローカル 開発 ソース コード ビルド テスト デプロイ (Stg) デプロイ
(Prd) CI/CDパイプライン IDEプラグイン Pre-Commit 静的解析(SAST) ソフトウェア構成解析(SCA) ライセンスチェック 動的解析(DAST)
IDEプラグイン・Pre-Commit • IDEプラグイン • コードレビュー、改善⽅法の提案などを受けられる • AIの活⽤ • Amazon Q
Developerなど • Pre-Commit • git commiの前に指定した処理を実⾏する • 処理は⾃分で指定 • 例えば、アクセスキーなどの機密情報が含まれていないかをチェック
静的解析・ソフトウェア構成解析・ライセンスチェック • 静的解析 • 後ほど… • ソフトウェア構成解析 • OSSに脆弱性がないかをチェックする •
ライセンスチェック • ライセンスの使い⽅などに問題がないかをチェックする
動的解析(DAST) • 動的解析 • アプリケーションを動作させて解析を⾏う • 静的解析とあわせて使うことで検知内容を補完できる • OWASP ZAPが有名︖
実装例
静的解析(SAST) • ソース コードを静的にスキャンし脆弱性を検知する Amazon CodeGuru Security GitHub Code Scanning
まとめ
まとめ • ソフトウェアサプライチェーン全体で対応が必要 • パイプライン⾃体のセキュリティ対応も必要 • 導⼊するだけでなく脆弱性が検知されたときの対応検討が必要 • ガイドラインの作成 •
開発者の環境の統⼀ • ワークショップもあります︕ • Security for Developers • https://catalog.workshops.aws/sec4devs/ja-JP
ご清聴ありがとうございました
DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie
auoie
bryan
eileencodes
tammyeverts
lara
swwweet
3n
sachag
bermonpainter
jacobian
michaelherold
mclloyd
erikaheidi
