Upgrade to Pro — share decks privately, control downloads, hide ads and more …

アプリケーション開発者目線で語る、明日から始めるDevSecOps

ihcomega56
July 21, 2022
Technology
0
25

 アプリケーション開発者目線で語る、明日から始めるDevSecOps

ihcomega56

July 21, 2022
Tweet

More Decks by ihcomega56

See All by ihcomega56
「サプライチェーン攻撃」に立ち向かう!SBOMを使った脆弱性管理がもたらす品質とスピード向上
ihcomega56
1
1.4k
パターンマッチングを学んで新しいJavaの世界へ!Java 18までの目玉機能をおさらいしよう / Java 18 pattern matching
ihcomega56
3
850
SCAとDockerを触ってみよう!DecSecOps入門ワークショップ / SCA and Docker workshop
ihcomega56
0
120
JFrogのDevOps Platformづくりを支えるオブザーバビリティ / JFrog Observability
ihcomega56
0
230
SBOMでソフトウェアを守れ!10年後も自信を持ってリリースするために今始めるDevSecOps / DevSecOps with SBOM for yourself 10 years from now
ihcomega56
1
4.3k
Javaアプリケーションの アーティファクト管理と DevSecOps / Java artifacts management and DevSecOps
ihcomega56
0
1.6k
元現場エンジニアが思う「もっとこうしておけばよかった」から学ぶDevSecOps / DevSecOps Best Practices learned from my experiences
ihcomega56
1
370
Dockerよちよち歩きハンズオン / Docker hands-on for beginners
ihcomega56
1
180
アーティファクトが鍵!ビジネスを安全に進化させるDevSecOps実践 / Manage artifacts to practice DevSecOps
ihcomega56
2
3.9k

Other Decks in Technology

See All in Technology
PHPの最高機能、配列を捨てよう!! / Throw away all PHP array now!!!
uzulla
7
4.7k
テスト技法を使ったテストケースの表現方法/How to express test cases using test techniques
shimashima35
0
290
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
10
24k
チームで導入する Jetpack Compose あの素晴らしいLTをもう一度.ver
kako351
1
170
GitHub Actionsと"仲良くなる"ための練習方法
tsubakimoto_s
10
2.8k
ローコード自動テストを1ヶ月半で導入した話
sumiren
0
150
数年先の金融DX/AI活用
abenben
1
280
stdClassって一体何者なんだ?!/Who the hell is stdClass?
daina0321
0
260
学びが形になる!〜DeNAで6年間プロダクト開発に携わって学んだこと〜
dena_tech
PRO
0
350
ローコードで実現するDevOps ~継続的テスト編~
odasho
1
140
大規模言語モデルで変わるMLシステム開発
hirosatogamo
11
8.9k
新卒入社から1500人規模のCTOに: エンジニアが圧倒的に成長する3つのコツ / 技育祭2023春
carta_engineering
1
790

Featured

See All Featured
Designing for humans not robots
tammielis
245
24k
Product Roadmaps are Hard
iamctodd
38
7.9k
The Art of Programming - Codeland 2020
erikaheidi
36
11k
Why Our Code Smells
bkeepers
PRO
326
55k
Pencils Down: Stop Designing & Start Developing
hursman
114
10k
Fontdeck: Realign not Redesign
paulrobertlloyd
74
4.4k
How to Ace a Technical Interview
jacobian
270
22k
Building Adaptive Systems
keathley
28
1.4k
Why You Should Never Use an ORM
jnunemaker
PRO
49
8k
Mobile First: as difficult as doing things right
swwweet
213
7.9k
How to train your dragon (web standard)
notwaldorf
66
4.3k
Bootstrapping a Software Product
garrettdimon
299
110k

Transcript

  1. ΞϓϦέʔγϣϯ
    ։ൃऀ໨ઢͰޠΔɺ
    ໌೔͔Β࢝ΊΔ%FW4FD0QT

    View Slide

  2. 1
    Α͜ͳͰ͢
    "ZBOB:PLPUB
    • +'SPHͷσϕϩούʔΞυϘέΠτ
    • લ৬·Ͱ͸ओʹόοΫΤϯυͷ։ൃ
    ʢ4*FS ޿ࠂձࣾ ূ݊ελʔτΞοϓʣ
    • ՖՐݟ͍ͨͳ͊
    5XJUUFS
    !JIDPNFHB

    View Slide

  3. %FW4FD0QTͱ͸
    %FWͱ0QTʹՃ͑ͯ4FDVSJUZ΋ڠۀ͠
    ܧଓతͳιϑτ΢ΣΞσϦόϦʔΛ
    ࣮ݱ͢Δߟ͑ํɾऔΓ૊Έ
    2
    2
    ։ൃ ӡ༻
    ηΩϡ
    ϦςΟ

    View Slide

  4. %FW4FD0QTͱ͸
    3
    3

    View Slide

  5. %FW4FD0QTʹؔ৺͕ߴ·Δཧ༝
    4
    4
    ग़యhttps://dzone.com/articles/10-tips-for-integrating-security-into-devops
    100: 10 : 1
    DEV OPS SEC
    ߈ܸ͕૿Ճ܏޲ʹ͋Δʹ΋͔͔ΘΒͣ

    View Slide

  6. %FW4FD0QTʹؔ৺͕ߴ·Δཧ༝
    5
    5
    ग़యhttps://news.mynavi.jp/techplus/article/20220208-2267778/
    ೔ຊاۀͷ ͕
    ηΩϡϦςΟਓࡐͷෆ଍Λײ͍ͯ͡Δ
    ˞ถࠃɺ߽भ
    90%

    View Slide

  7. %FW4FD0QTʹؔ৺͕ߴ·Δཧ༝
    6
    6
    ग़యhttps://news.mynavi.jp/techplus/article/20220208-2267778/
    ॆ଍͍ͯ͠Δͱײ͡Δཧ༝ͷҐ ͍ͣΕ΋શମͷఔ౓

    🇯🇵‍
    ηΩϡϦςΟۀ຿͕ඪ४Խ͞Ε͓ͯΓɺ໾ׂ෼୲͕
    ໌֬Խ͞Ε͍ͯΔͨΊ
    🇺🇸🇦🇺‍‍
    ηΩϡϦςΟۀ຿͕γεςϜ౳ʹΑΓࣗಈԽɾলྗԽ
    ͞Ε͍ͯΔͨΊ

    View Slide

  8. ޮ཰Խɾվળ͢Δ͔͠ͳ͍ʂ
    7

    View Slide

  9. %FW4FD0QTΛࢧ͑Δப
    8
    8
    ૊৫ ϓϩηε ٕज़ Ψόφϯε
    ग़యhttps://dodcio.defense.gov/Portals/0/Documents/DoD%20Enterprise%20DevSecOps%20Reference%20Design%20v1.0_Public%20Release.pdf
    %FW0QTͱ
    ݁ߏࣅͯΔ

    View Slide

  10. %FW0QTͱҧ͏ͱ͜Ζ͸ʁ
    9

    View Slide

  11. πʔϧ
    10

    View Slide

  12. ͸͡Ί΍͍͢ͱ͜Ζ͔Β
    • ໢ཏతʹରࡦ͢Δͷ͕ཧ૝͕ͩɺπʔϧ΋ϓϥΫςΟε
    ΋ଟ͘औΓ૊Έ΍͍͢ͱ͜Ζ͔Β࢝ΊΔ
    • ੩తΞϓϦέʔγϣϯηΩϡϦςΟςετ 4"45

    • ಈతΞϓϦέʔγϣϯηΩϡϦςΟςετ %"45

    • ιϑτ΢ΣΞίϯϙδγϣϯղੳ 4$"
    ͳͲ
    11

    View Slide

  13. 12
    12
    ίʔυ Ϗϧυ ςετ ϦϦʔε σϓϩΠ
    औΓ૊ΈͷϙΠϯτ
    ˞ਤ͸ҰྫͰ͢
    4$"
    4"45 %"45 4$"
    গͳ͍ਓखͰ΋ͳΔ΂͘΍͍ͬͯ͘ʂ
    • ࣗಈԽ͠ɺ$*$%ύΠϓϥΠϯʹ૊ΈࠐΉ
    • 4-%$ͷૣ͍ஈ֊Ͱؾ෇͚ΔΑ͏ʹ͢ΔʮγϑτϨϑτʯ
    • ϦϦʔεલʹ·ͱΊ࣮ͯࢪɺҰఆظؒ͝ͱͷ࣮ࢪͷΈͱ͍ͬͨ
    Ξϓϩʔν͸໰୊͕େ͖͘ͳΓ͗ͯ͢ରॲ͕େมʹͳΔڪΕ

    View Slide

  14. ૊৫ɾΧϧνϟʔ
    • ૊৫͕%FW4FD0QTʹཧղΛࣔ͠ɺશମͰऔΓ૊Ή
    • ίϛϡχέʔγϣϯɾίϥϘϨʔγϣϯΛ׆ൃʹ͢Δ
    • ੒ޭ΋ࣦഊ΋ݟ௚͠ɺϑΟʔυόοΫΛड͚ͳ͕Βվળ
    Λ܁Γฦ͢
    13

    View Slide

  15. ͦ͏͸ݴͬͯ΋ɾɾɾ
    14

    View Slide

  16. ͍͑ɺ·ͣ͸
    ࣗ෼ࣗ਎Λݟ௚ͯ͠Έ·ͤΜ͔ʁ
    15

    View Slide

  17. ͔ͭͯͷࢲ͕͍ؕͬͯͨצҧ͍
    ʮྑ͍΋ͷΛ࡞Γ͍ͨʂʯ
    ؔ৺ͷ΄ͱΜͲ͕Ϗδωεɺ࢓༷ɺ࣮૷ʹ޲͍͍ͯͨ
    • ΞϓϦέʔγϣϯͷ࡞Γ͜Έ͕ͦ͜େࣄͩͱࢥ͍ͬͯͨ
    • ηΩϡϦςΟ΍ηΩϡϦςΟνʔϜ΁ͷؔ৺͕ബ͔ͬͨ
    • ηΩϡϦςΟ͕ͱʹ͔͘ාͯۤ͘खͩͬͨ
    • ηΩϡϦςΟΛ։ൃͷϥΠϑαΠΫϧʹ૊ΈࠐΉͱ͍͏
    ҙ͕ࣝͳ͔ͬͨ
    16

    View Slide

  18. 17
    Ϣʔβʔʹಧ͘·Ͱ͕ʮྑ͍΋ͷΛ࡞Δʯ
    ηΩϡϦςΟνʔϜ΋Ұॹʹ΋ͷͮ͘ΓΛ͢Δ஥ؒ
    ʮηΩϡϦςΟʯ͸ൣғ͕޿͗͢Δʂ·ͣ͸෼ղ͔Β
    ηΩϡϦςΟνΣοΫ͸౰ͨΓલʹ܁Γฦ͠ߦ͏
    ͜͏ߟ͑Α͏

    View Slide

  19. ͓ޓ͍ͷྖҬ΁ͷ
    ৺ߏ͑΍औΓ૊Έɺ
    վળϙΠϯτ͸͋Γ·ͤΜ͔ʁ
    18

    View Slide

  20. ൓ରʹ
    ΠϚΠνڠྗ͕ಘΒΕͳ͍ͳͱ
    ײ͡Δ৔߹ɺ
    Կ͔צҧ͍΍ڪΕ͕
    ͋Δͷ͔΋͠Ε·ͤΜ
    19

    View Slide

  21. ૊৫ɾΧϧνϟʔͷҰา໨
    • ·ͣ͸͓ޓ͍͕าΈدΓɺཧղ͠Α͏ͱ͢Δ
    • ڥքͷ޲͜͏ଆʹؙ౤͛͠ͳ͍
    • શһ͕શ෦Λཧղ͢Δඞཁ͸ͳ͘ɺগͣͭ͠୲౰ྖҬΛ
    ޿͍͚͛ͯ͹ྑ͍
    20

    View Slide

  22. 21
    5IBOLZPV

    View Slide

  23. ࢀߟ
    • ʮJFrog Xray Security and Compliance of the Open Source Software Dependencies You Rely onʯ
    https://jfrog.com/whitepaper/jfrog-xray-universal-component-analysis/
    • ʮDevSecOpsͱ͸ʁʯhttps://jfrog.com/ja/devops-tools/what-is-devsecops/
    • DZone 2017-04-24ʮ10 Tips for Integrating Security Into DevOpsʯhttps://dzone.com/articles/10-
    tips-for-integrating-security-into-devops
    • TECH+ 2022-02-08 ʮ೔ຊاۀͷ9ׂ͕ʰηΩϡϦςΟਓࡐෆ଍ʹ՝୊ʱ-ถ߽͸1ׂఔ౓ʯ
    https://news.mynavi.jp/techplus/article/20220208-2267778/
    • Department of Defense (DoD) Chief Information OfficerʮDoD Enterprise DevSecOps Reference
    Designʯ
    https://dodcio.defense.gov/Portals/0/Documents/DoD%20Enterprise%20DevSecOps%20Reference
    %20Design%20v1.0_Public%20Release.pdf
    22

    View Slide