Upgrade to Pro — share decks privately, control downloads, hide ads and more …

輕輕鬆鬆體驗 DevSecOps @ iThome Cloud Summit 2023

Cheng-Wei Chen
July 19, 2023
Technology
1
150

輕輕鬆鬆體驗 DevSecOps @ iThome Cloud Summit 2023

在今年 2023 的 iThome Cloud Summit,我邀請了 GitLab 原廠的 Staff Solutions Architect - Toshitaka Ito,以及另一位 GitLab Hero - Mouson (墨嗓) ,一起針對 DevSecOps 這個主題,規劃了一場「輕輕鬆鬆體驗 DevSecOps」的 Hand-on Lab。

我要特別感謝 Toshitaka Ito 與 Mouson,感謝他們兩位在我邀請一起合作這場 Lab 時,第一時間就答應參與,並且提供了非常多的幫助,如果少了他們,這場 Lab 是無法順利舉辦的,他們才是這場 Lab 的最大功臣,感謝兩位!

Toshitaka Ito - https://about.gitlab.com/company/team/#toshitakaito
Mouson - https://mouson.im/

(簡報是從 Google簡報匯出,再上傳 Speaker Deck,字體樣式有點跑掉,我也懶得修了。)

Cheng-Wei Chen

July 19, 2023
Tweet

More Decks by Cheng-Wei Chen

See All by Cheng-Wei Chen
DevOps Overview @ DevOpsDays Taipei 2023
cheng_wei_chen
0
160
那些年我們做過的 DevOps Pipeline @ DevOpsDays Taipei 2023
cheng_wei_chen
1
330
DevOpsDays Taipei 2023 Opening
cheng_wei_chen
0
110
回顧與展望,從DevOps鑑古觀今知未來 v1.0 公開版
cheng_wei_chen
0
170
Lab: GitOps with GitLab and K8s
cheng_wei_chen
0
56
那些年我們做過的 DevOps Pipeline
cheng_wei_chen
2
2.1k
DevOpsDays Taipei 2022 Opening
cheng_wei_chen
3
1.3k

Other Decks in Technology

See All in Technology
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
2
490
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
130
Azure犬駆動開発の記録/GlobalAzureFukuoka2024_20240420
nina01
1
220
「スニダン」開発組織の構造に込めた意図 ~組織作りはパッションや政治ではない!~
rinchsan
4
580
サーバー間 GraphQL と webmock-graphql の話 / server-to-server graphql and webmock-graphql
qsona
2
190
Python と Snowflake はズッ友だょ!~ Snowflake の Python 関連機能をふりかえる ~
__allllllllez__
1
120
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
daitak
0
310
ServiceNow Knowledge 24の歩き方 EYストラテジー・アンド・コンサルティング
manarobot
0
200
VS CodeでAWSを操作しよう
smt7174
8
1.8k
エンジニアのキャリアをちょっと楽しくする3本の軸/Three Pillars to Make an Engineer's Career More Enjoyable
kwappa
0
2.8k
AWSに詳しくない人でも始められるコスト最適化ガイド
yuhta28
1
260
Kernel MemoryでAzure OpenAI Serviceとお手軽データソース連携
mitsuzono
1
260

Featured

See All Featured
Building Better People: How to give real-time feedback that sticks.
wjessup
355
18k
Building Applications with DynamoDB
mza
88
5.6k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
6
1.5k
Rebuilding a faster, lazier Slack
samanthasiow
73
8.2k
A Philosophy of Restraint
colly
197
16k
The MySQL Ecosystem @ GitHub 2015
samlambert
243
12k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
357
22k
Building Flexible Design Systems
yeseniaperezcruz
319
37k
Art, The Web, and Tiny UX
lynnandtonic
289
19k
[RailsConf 2023] Rails as a piece of cake
palkan
23
4k
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
Designing on Purpose - Digital PM Summit 2013
jponch
110
6.5k

Transcript

  1. 輕輕鬆鬆體驗 DevSecOps 2023.07.19 @ CLOUD SUMMIT 2023 臺灣雲端大會 特別感謝

  2. 陳正瑋 GitLab Hero Mouson (墨嗓) GitLab Hero Toshitaka Ito Staff

    Solutions Architect at GitLab 特別感謝

  3. 你聽過 DevSecOps 嗎?

  4. 多半都聽過,因為一堆人都在倡議 DevSecOps 截圖來源:Google 搜尋 DevSecOps

  5. 你覺得 DevSecOps 是? - DevOps + Sec - Dev +

    Sec + Ops - Or?

  6. Plan Code Build Deploy Monitor Analyze Operate 讓我們先看一下 DevOps

  7. DevOps 打通了「交付價值」的整條 工作流程!

  8. 那麼 DevSecOps 帶來了?

  9. 資安問題,每天都在發生 截圖來源:https://www.ithome.com.tw/CIDaily

  10. 截圖來源:https://www.cvedetails.com/vulnerability-list/year-2023/vulnerabilities.html

  11. 截圖來源:https://hub.docker.com/layers/library/node/14.21.3-bullseye/images/sha256-9b60cdcee9c6a27227689ebf4e7dd422ff195e978ffec360db5c0b3a05e20452

  12. 截圖來源:https://www.facebook.com/ithomeonline/posts/pfbid02EgAHmdduZS4fd4JDizPhw8Af5wcnWUwZD3xChRYHWLwU3HZm9L7KWcwjqXvFqF76l

  13. 資安問題,每天都在發生 - 經典中的經典案例 Log4j - Open Source - Application -

    Package - Library - ……more

  14. 那麼 Security 從哪裡來? 也許 DevSecOps 是一個答案

  15. DevOps -> DevSecOps?

  16. 圖片來源:https://about.gitlab.com/platform/?stage=plan

  17. Secure Plan Code Build Deploy Monitor Analyze Operate 從你最容易著手的地方開始!

  18. Deploy & Operate Plan & Create Integrate & Verify Monitor

    & Improve 邁向DevSecOps的第一步 只要在合併feature branch之前進行安全掃描, 可以認為是DevSecOps的第一步 • 開發團隊主動進行的 AppSec • 早期的安全性測試( shift-left) • 自然地促進修復漏洞的整個週期 ◦ 檢測漏洞、評估漏洞、修復原始碼、掃描原始碼、 解决問題 圖片來源:GitLab 原廠 SA - Toshi @ 2023.06.07 GitLab 午餐交流分享會 「如何開始導入 DevSecOps 而不是 DevOps + Sec?」

  19. 有哪些「掃描 / 檢查」是有機會立即實施的呢? - SAST (Static Application Security Testing) -

    Dependency Scanning - Secret Detection - License Compliance - Container Scanning - DAST (Dynamic Application Security Testing) - Web API Fuzz - more…

  20. 今天就讓我們輕輕鬆鬆的 體驗 DevSecOps 的第一步吧!

  21. 進入 Lab 內容

  22. Lab 環境說明

  23. Lab 環境 GitLab.com Training Environment My Test Group (User1) My

    Test Group (User2) My Test Group (User3) My Test Group (User4) Group Runner Group Runner User1 User2 User3 User4

  24. Lab Sample Project https:/ /gitlab.com/gitlab-learn-l abs/sample-projects/quick-devs ecops-hands-on-workshop

  25. 結語

  26. Deploy & Operate Plan & Create Integrate & Verify Monitor

    & Improve 邁向DevSecOps的第一步 圖片來源:GitLab 原廠 SA - Toshi @ 2023.06.07 GitLab 午餐交流分享會 「如何開始導入 DevSecOps 而不是 DevOps + Sec?」

  27. Secure Plan Code Build Deploy Monitor Analyze Operate DevSecOps

  28. 圖片來源:https://github.com/rung/threat-matrix-cicd 也別忘了關心 Pipeline 本身的安全性

  29. DevSecOps != Sec + DevOps

  30. 圖片來源:https://about.gitlab.com/platform/?stage=plan

  31. DevSecOps 不只是將 Sec 工具放進 Lifecycle 之中 但可以是一個好的開始!

  32. 你需要建立 DevSecOps Mindset 長期來說,這才是關鍵

  33. 實踐 DevSecOps 的常見挑戰

  34. 尚未實踐 CI / CD 那你連今天介紹的第一步都⋯⋯

  35. Sec 那很貴吧? 回到 風險、成本、品質之間的關係去評估與思考

  36. 不知道如何掃描與修復漏洞? 付費產品很成熟、開源工具的生態系也持續成長中

  37. 繁複過多的工具整合? 想一想為何 Platform engineering 會興起

  38. 不知道如何落地 DevSecOps? 萬事起頭難,但你不起頭,那永遠都難