Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DevSecOps入門しました
Search
auoie
July 18, 2024
0
180
DevSecOps入門しました
2024/07/18 2024 Japan AWS Jr. Champions勉強会
auoie
July 18, 2024
Tweet
Share
More Decks by auoie
See All by auoie
AWSセキュリティに入門した話
auoie
3
190
会社と若手を強くするコミュニティの活用法
auoie
1
190
TransitGatewayをクロスアカウント・クロスリージョンで接続してみた
auoie
2
170
AWS3年目、TypeScript初心者がCDK を使いこなせるのか?第一歩で感じたハードルとメリット
auoie
1
2.1k
Featured
See All Featured
Site-Speed That Sticks
csswizardry
13
920
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
132
19k
Why Our Code Smells
bkeepers
PRO
340
57k
Six Lessons from altMBA
skipperchong
29
4k
The Straight Up "How To Draw Better" Workshop
denniskardys
238
140k
Bash Introduction
62gerente
615
210k
Scaling GitHub
holman
463
140k
Become a Pro
speakerdeck
PRO
29
5.6k
Optimizing for Happiness
mojombo
379
70k
Testing 201, or: Great Expectations
jmmastey
45
7.7k
The Language of Interfaces
destraynor
162
25k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
10
880
Transcript
DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie
⾃⼰紹介 • Mayuko Ide/@mayuko_auoie • 株式会社サーバーワークス所属 • 2021/04〜 • 業務内容
• SRE系 • AWS環境構築 • 運⽤
⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •
CI/CDパイプライン
⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •
CI/CDパイプライン ↑ここに静的解析を入れよう!!!
⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •
CI/CDパイプライン ↑ここに静的解析を入れよう!!! DevSecOps
Agenda • DevOps • DevSecOps • 実装⽅法 • 実装例 •
まとめ
DevOps
DevOps 「開発(Development)」 「運⽤(Operations)」 概要 メリット 開発からデプロイ・運⽤まで⼀つのチームで管理することで 俊敏性を⾼め、安定したサービスを提供できる 著作者: Kharnagy CC
表⽰-継承 4.0 https://commons.wikimedia.org/w/index.php?curid=51215412
DevOps • CI/CD • マイクロサービス • Infrastructure as Code •
⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティ ベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html
DevOps • CI/CD • マイクロサービス • Infrastructure as Code •
⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティ ベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html
DevOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト
DevSecOps
DevSecOps 「開発(Development)」 「運⽤(Operations)」 「セキュリティ(Security)」 概要 メリット 開発プロセスの早い段階からセキュリティ取り⼊れ 脆弱性を早期に発⾒し、修正する
DevOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト
DevSecOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト
DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進 ベストプラクティス
https://aws.amazon.com/jp/what-is/devsecops/
DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進 ベストプラクティス
ローカル 開発 ソース コード ビルド テスト デプロイ セキュリティへの取り組みを早い段階へ移す
実装⽅法
実装⽅法 ローカル 開発 ソース コード ビルド テスト デプロイ (Stg) デプロイ
(Prd) CI/CDパイプライン IDEプラグイン Pre-Commit 静的解析(SAST) ソフトウェア構成解析(SCA) ライセンスチェック 動的解析(DAST)
IDEプラグイン・Pre-Commit • IDEプラグイン • コードレビュー、改善⽅法の提案などを受けられる • AIの活⽤ • Amazon Q
Developerなど • Pre-Commit • git commiの前に指定した処理を実⾏する • 処理は⾃分で指定 • 例えば、アクセスキーなどの機密情報が含まれていないかをチェック
静的解析・ソフトウェア構成解析・ライセンスチェック • 静的解析 • 後ほど… • ソフトウェア構成解析 • OSSに脆弱性がないかをチェックする •
ライセンスチェック • ライセンスの使い⽅などに問題がないかをチェックする
動的解析(DAST) • 動的解析 • アプリケーションを動作させて解析を⾏う • 静的解析とあわせて使うことで検知内容を補完できる • OWASP ZAPが有名︖
実装例
静的解析(SAST) • ソース コードを静的にスキャンし脆弱性を検知する Amazon CodeGuru Security GitHub Code Scanning
まとめ
まとめ • ソフトウェアサプライチェーン全体で対応が必要 • パイプライン⾃体のセキュリティ対応も必要 • 導⼊するだけでなく脆弱性が検知されたときの対応検討が必要 • ガイドラインの作成 •
開発者の環境の統⼀ • ワークショップもあります︕ • Security for Developers • https://catalog.workshops.aws/sec4devs/ja-JP
ご清聴ありがとうございました
DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie
auoie
csswizardry
morganepeng
bkeepers
skipperchong
denniskardys
62gerente
holman
speakerdeck
mojombo
jmmastey
destraynor
tammyeverts
