DevSecOps入門しました

DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie

⾃⼰紹介 • Mayuko Ide/@mayuko_auoie • 株式会社サーバーワークス所属 • 2021/04〜 • 業務内容
• SRE系 • AWS環境構築 • 運⽤

⾃⼰紹介 • 最近の業務 • AWS CDK（AWS Cloud Development Kit） •
CI/CDパイプライン

CI/CDパイプライン ↑ここに静的解析を入れよう！！！

CI/CDパイプライン ↑ここに静的解析を入れよう！！！ DevSecOps

Agenda • DevOps • DevSecOps • 実装⽅法 • 実装例 •
まとめ

DevOps

DevOps 「開発（Development）」「運⽤（Operations）」概要メリット開発からデプロイ・運⽤まで⼀つのチームで管理することで俊敏性を⾼め、安定したサービスを提供できる著作者: Kharnagy CC
表⽰-継承 4.0 https://commons.wikimedia.org/w/index.php?curid=51215412

DevOps • CI/CD • マイクロサービス • Infrastructure as Code •
⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html

DevOps ローカル開発ソースコードビルドテストデプロイ CI/CDパイプラインセキュリティテスト

DevSecOps

DevSecOps 「開発（Development）」「運⽤（Operations）」「セキュリティ（Security）」概要メリット開発プロセスの早い段階からセキュリティ取り⼊れ脆弱性を早期に発⾒し、修正する

DevOps ローカル開発ソースコードビルドテストデプロイ CI/CDパイプラインセキュリティテスト

DevSecOps ローカル開発ソースコードビルドテストデプロイ CI/CDパイプラインセキュリティテスト

DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進ベストプラクティス
https://aws.amazon.com/jp/what-is/devsecops/

DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進ベストプラクティス
ローカル開発ソースコードビルドテストデプロイセキュリティへの取り組みを早い段階へ移す

実装⽅法

実装⽅法ローカル開発ソースコードビルドテストデプロイ (Stg) デプロイ
(Prd) CI/CDパイプライン IDEプラグイン Pre-Commit 静的解析（SAST）ソフトウェア構成解析（SCA）ライセンスチェック動的解析（DAST）

IDEプラグイン・Pre-Commit • IDEプラグイン • コードレビュー、改善⽅法の提案などを受けられる • AIの活⽤ • Amazon Q
Developerなど • Pre-Commit • git commiの前に指定した処理を実⾏する • 処理は⾃分で指定 • 例えば、アクセスキーなどの機密情報が含まれていないかをチェック

静的解析・ソフトウェア構成解析・ライセンスチェック • 静的解析 • 後ほど… • ソフトウェア構成解析 • OSSに脆弱性がないかをチェックする •
ライセンスチェック • ライセンスの使い⽅などに問題がないかをチェックする

動的解析（DAST） • 動的解析 • アプリケーションを動作させて解析を⾏う • 静的解析とあわせて使うことで検知内容を補完できる • OWASP ZAPが有名︖

実装例

静的解析（SAST） • ソースコードを静的にスキャンし脆弱性を検知する Amazon CodeGuru Security GitHub Code Scanning

まとめ

まとめ • ソフトウェアサプライチェーン全体で対応が必要 • パイプライン⾃体のセキュリティ対応も必要 • 導⼊するだけでなく脆弱性が検知されたときの対応検討が必要 • ガイドラインの作成 •
開発者の環境の統⼀ • ワークショップもあります︕ • Security for Developers • https://catalog.workshops.aws/sec4devs/ja-JP

ご清聴ありがとうございました

DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie

DevSecOps入門しました

DevSecOps入門しました

auoie

More Decks by auoie

Featured

Transcript

DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie

⾃⼰紹介 • Mayuko Ide/@mayuko_auoie • 株式会社サーバーワークス所属 • 2021/04〜 • 業務内容

⾃⼰紹介 • 最近の業務 • AWS CDK（AWS Cloud Development Kit） •

⾃⼰紹介 • 最近の業務 • AWS CDK（AWS Cloud Development Kit） •

⾃⼰紹介 • 最近の業務 • AWS CDK（AWS Cloud Development Kit） •

Agenda • DevOps • DevSecOps • 実装⽅法 • 実装例 •

DevOps

DevOps 「開発（Development）」「運⽤（Operations）」概要メリット開発からデプロイ・運⽤まで⼀つのチームで管理することで俊敏性を⾼め、安定したサービスを提供できる著作者: Kharnagy CC

DevOps • CI/CD • マイクロサービス • Infrastructure as Code •

DevOps • CI/CD • マイクロサービス • Infrastructure as Code •

DevOps ローカル開発ソースコードビルドテストデプロイ CI/CDパイプラインセキュリティテスト

DevSecOps

DevSecOps 「開発（Development）」「運⽤（Operations）」「セキュリティ（Security）」概要メリット開発プロセスの早い段階からセキュリティ取り⼊れ脆弱性を早期に発⾒し、修正する

DevOps ローカル開発ソースコードビルドテストデプロイ CI/CDパイプラインセキュリティテスト

DevSecOps ローカル開発ソースコードビルドテストデプロイ CI/CDパイプラインセキュリティテスト

DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進ベストプラクティス

DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進ベストプラクティス

実装⽅法

実装⽅法ローカル開発ソースコードビルドテストデプロイ (Stg) デプロイ

IDEプラグイン・Pre-Commit • IDEプラグイン • コードレビュー、改善⽅法の提案などを受けられる • AIの活⽤ • Amazon Q

静的解析・ソフトウェア構成解析・ライセンスチェック • 静的解析 • 後ほど… • ソフトウェア構成解析 • OSSに脆弱性がないかをチェックする •

動的解析（DAST） • 動的解析 • アプリケーションを動作させて解析を⾏う • 静的解析とあわせて使うことで検知内容を補完できる • OWASP ZAPが有名︖

実装例

静的解析（SAST） • ソースコードを静的にスキャンし脆弱性を検知する Amazon CodeGuru Security GitHub Code Scanning

まとめ

まとめ • ソフトウェアサプライチェーン全体で対応が必要 • パイプライン⾃体のセキュリティ対応も必要 • 導⼊するだけでなく脆弱性が検知されたときの対応検討が必要 • ガイドラインの作成 •

ご清聴ありがとうございました

DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie