Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
アプリケーション開発者目線で語る、明日から始めるDevSecOps
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
ihcomega56
July 21, 2022
Technology
250
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
アプリケーション開発者目線で語る、明日から始めるDevSecOps
ihcomega56
July 21, 2022
More Decks by ihcomega56
See All by ihcomega56
JEP 455: Primitive Types in Patterns, instanceof, and switch (Preview)
ihcomega56
1
170
シリコンバレーのチームで経験したふりかえり - 共通点とギャップ / retrospectives in silicon valley
ihcomega56
5
2k
「サプライチェーン攻撃」に立ち向かう!SBOMを使った脆弱性管理がもたらす品質とスピード向上
ihcomega56
2
2.7k
パターンマッチングを学んで新しいJavaの世界へ!Java 18までの目玉機能をおさらいしよう / Java 18 pattern matching
ihcomega56
3
1.5k
SCAとDockerを触ってみよう!DecSecOps入門ワークショップ / SCA and Docker workshop
ihcomega56
1
330
JFrogのDevOps Platformづくりを支えるオブザーバビリティ / JFrog Observability
ihcomega56
0
560
SBOMでソフトウェアを守れ!10年後も自信を持ってリリースするために今始めるDevSecOps / DevSecOps with SBOM for yourself 10 years from now
ihcomega56
1
6.7k
Javaアプリケーションの アーティファクト管理と DevSecOps / Java artifacts management and DevSecOps
ihcomega56
0
2.8k
元現場エンジニアが思う「もっとこうしておけばよかった」から学ぶDevSecOps / DevSecOps Best Practices learned from my experiences
ihcomega56
1
580
Other Decks in Technology
See All in Technology
ゼロをイチにする仕事が終わったあと
smasato
0
250
金融の未来を考える / Thinking About the Future of Finance
ks91
PRO
0
150
“ID沼入口” - 基本とセキュリティから始める、考え続けるためのID管理技術勉強会 告知&イントロ
ritou
0
380
Hatena Engineer Seminar 37 jj1uzh
jj1uzh
0
420
AWS Summit Japan 2026の振り返りと2027へ向けて / AWS Summit Japan 2026 Recap and Prospects for 2027
kaminashi
1
180
Multi-Agent並列開発を 安全に回すための技術 / Technology for Safely Multi-Agent Parallel Development
tooppoo
0
250
HookでSAST、CIでSAST、SCAでどうにかしている話 / layered-security-for-ai-written-code-with-sast-and-sca
yamaguchitk333
0
100
なぜ私たちのSREプラクティスはなかなか機能しないのか 〜システムより先に組織を見る〜 / Why our SRE practices aren't really working
vtryo
0
110
技術・能力を向上する原理原則 #きのこセッションa #きのこ2026
bash0c7
0
200
作る力から、見極める力へ — AI時代に広がるエンジニアの価値と役割
rince
0
400
製造現場での生成AIの活用、およびエージェントAIの実装のあり方、AVEVAの取り組み
iotcomjpadmin
0
220
AI時代のエンジニアキャリアについて今一度考える
sakamoto_582
1
830
Featured
See All Featured
Paper Plane (Part 1)
katiecoart
PRO
0
9.5k
The SEO Collaboration Effect
kristinabergwall1
1
500
Lightning Talk: Beautiful Slides for Beginners
inesmontani
PRO
2
590
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
340
Bash Introduction
62gerente
615
220k
Rails Girls Zürich Keynote
gr2m
96
14k
Product Roadmaps are Hard
iamctodd
55
12k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
750
Being A Developer After 40
akosma
91
590k
How To Speak Unicorn (iThemes Webinar)
marktimemedia
1
500
WCS-LA-2024
lcolladotor
0
670
Designing for humans not robots
tammielis
254
26k
Transcript
ΞϓϦέʔγϣϯ ։ൃऀઢͰޠΔɺ ໌͔Β࢝ΊΔ%FW4FD0QT
1 Α͜ͳͰ͢ "ZBOB:PLPUB • +'SPHͷσϕϩούʔΞυϘέΠτ • લ৬·ͰओʹόοΫΤϯυͷ։ൃ ʢ4*FS ࠂձࣾ ূ݊ελʔτΞοϓʣ
• ՖՐݟ͍ͨͳ͊ 5XJUUFS !JIDPNFHB
%FW4FD0QTͱ %FWͱ0QTʹՃ͑ͯ4FDVSJUZڠۀ͠ ܧଓతͳιϑτΣΞσϦόϦʔΛ ࣮ݱ͢Δߟ͑ํɾऔΓΈ 2 2 ։ൃ ӡ༻ ηΩϡ ϦςΟ
%FW4FD0QTͱ 3 3
%FW4FD0QTʹؔ৺͕ߴ·Δཧ༝ 4 4 ग़యhttps://dzone.com/articles/10-tips-for-integrating-security-into-devops 100: 10 : 1 DEV OPS
SEC ߈ܸ͕૿Ճʹ͋Δʹ͔͔ΘΒͣ
%FW4FD0QTʹؔ৺͕ߴ·Δཧ༝ 5 5 ग़యhttps://news.mynavi.jp/techplus/article/20220208-2267778/ ຊاۀͷ ͕ ηΩϡϦςΟਓࡐͷෆΛײ͍ͯ͡Δ ˞ถࠃɺ߽भ 90%
%FW4FD0QTʹؔ৺͕ߴ·Δཧ༝ 6 6 ग़యhttps://news.mynavi.jp/techplus/article/20220208-2267778/ ॆ͍ͯ͠Δͱײ͡Δཧ༝ͷҐ ͍ͣΕશମͷఔ 🇯🇵 ηΩϡϦςΟۀ͕ඪ४Խ͞Ε͓ͯΓɺׂ୲͕ ໌֬Խ͞Ε͍ͯΔͨΊ 🇺🇸🇦🇺
ηΩϡϦςΟۀ͕γεςϜʹΑΓࣗಈԽɾলྗԽ ͞Ε͍ͯΔͨΊ
ޮԽɾվળ͢Δ͔͠ͳ͍ʂ 7
%FW4FD0QTΛࢧ͑Δப 8 8 ৫ ϓϩηε ٕज़ Ψόφϯε ग़యhttps://dodcio.defense.gov/Portals/0/Documents/DoD%20Enterprise%20DevSecOps%20Reference%20Design%20v1.0_Public%20Release.pdf %FW0QTͱ ݁ߏࣅͯΔ
%FW0QTͱҧ͏ͱ͜Ζʁ 9
πʔϧ 10
͡Ί͍͢ͱ͜Ζ͔Β • ཏతʹରࡦ͢Δͷ͕ཧ͕ͩɺπʔϧϓϥΫςΟε ଟ͘औΓΈ͍͢ͱ͜Ζ͔Β࢝ΊΔ • ੩తΞϓϦέʔγϣϯηΩϡϦςΟςετ 4"45 • ಈతΞϓϦέʔγϣϯηΩϡϦςΟςετ %"45
• ιϑτΣΞίϯϙδγϣϯղੳ 4$" ͳͲ 11
12 12 ίʔυ Ϗϧυ ςετ ϦϦʔε σϓϩΠ औΓΈͷϙΠϯτ ˞ਤҰྫͰ͢ 4$"
4"45 %"45 4$" গͳ͍ਓखͰͳΔ͍ͬͯ͘͘ʂ • ࣗಈԽ͠ɺ$*$%ύΠϓϥΠϯʹΈࠐΉ • 4-%$ͷૣ͍ஈ֊Ͱؾ͚ΔΑ͏ʹ͢ΔʮγϑτϨϑτʯ • ϦϦʔεલʹ·ͱΊ࣮ͯࢪɺҰఆظؒ͝ͱͷ࣮ࢪͷΈͱ͍ͬͨ Ξϓϩʔν͕େ͖͘ͳΓ͗ͯ͢ରॲ͕େมʹͳΔڪΕ
৫ɾΧϧνϟʔ • ৫͕%FW4FD0QTʹཧղΛࣔ͠ɺશମͰऔΓΉ • ίϛϡχέʔγϣϯɾίϥϘϨʔγϣϯΛ׆ൃʹ͢Δ • ޭࣦഊݟ͠ɺϑΟʔυόοΫΛड͚ͳ͕Βվળ Λ܁Γฦ͢ 13
ͦ͏ݴͬͯɾɾɾ 14
͍͑ɺ·ͣ ࣗࣗΛݟͯ͠Έ·ͤΜ͔ʁ 15
͔ͭͯͷࢲ͕͍ؕͬͯͨצҧ͍ ʮྑ͍ͷΛ࡞Γ͍ͨʂʯ ؔ৺ͷ΄ͱΜͲ͕Ϗδωεɺ༷ɺ࣮ʹ͍͍ͯͨ • ΞϓϦέʔγϣϯͷ࡞Γ͜Έ͕ͦ͜େࣄͩͱࢥ͍ͬͯͨ • ηΩϡϦςΟηΩϡϦςΟνʔϜͷؔ৺͕ബ͔ͬͨ • ηΩϡϦςΟ͕ͱʹ͔͘ාͯۤ͘खͩͬͨ •
ηΩϡϦςΟΛ։ൃͷϥΠϑαΠΫϧʹΈࠐΉͱ͍͏ ҙ͕ࣝͳ͔ͬͨ 16
17 Ϣʔβʔʹಧ͘·Ͱ͕ʮྑ͍ͷΛ࡞Δʯ ηΩϡϦςΟνʔϜҰॹʹͷͮ͘ΓΛ͢Δؒ ʮηΩϡϦςΟʯൣғ͕͗͢Δʂ·ͣղ͔Β ηΩϡϦςΟνΣοΫͨΓલʹ܁Γฦ͠ߦ͏ ͜͏ߟ͑Α͏
͓ޓ͍ͷྖҬͷ ৺ߏ͑औΓΈɺ վળϙΠϯτ͋Γ·ͤΜ͔ʁ 18
ରʹ ΠϚΠνڠྗ͕ಘΒΕͳ͍ͳͱ ײ͡Δ߹ɺ Կ͔צҧ͍ڪΕ͕ ͋Δͷ͔͠Ε·ͤΜ 19
৫ɾΧϧνϟʔͷҰา • ·͓ͣޓ͍͕าΈدΓɺཧղ͠Α͏ͱ͢Δ • ڥքͷ͜͏ଆʹؙ͛͠ͳ͍ • શһ͕શ෦Λཧղ͢Δඞཁͳ͘ɺগͣͭ͠୲ྖҬΛ ͍͚͛ͯྑ͍ 20
21 5IBOLZPV
ࢀߟ • ʮJFrog Xray Security and Compliance of the Open
Source Software Dependencies You Rely onʯ https://jfrog.com/whitepaper/jfrog-xray-universal-component-analysis/ • ʮDevSecOpsͱʁʯhttps://jfrog.com/ja/devops-tools/what-is-devsecops/ • DZone 2017-04-24ʮ10 Tips for Integrating Security Into DevOpsʯhttps://dzone.com/articles/10- tips-for-integrating-security-into-devops • TECH+ 2022-02-08 ʮຊاۀͷ9ׂ͕ʰηΩϡϦςΟਓࡐෆʹ՝ʱ-ถ߽1ׂఔʯ https://news.mynavi.jp/techplus/article/20220208-2267778/ • Department of Defense (DoD) Chief Information OfficerʮDoD Enterprise DevSecOps Reference Designʯ https://dodcio.defense.gov/Portals/0/Documents/DoD%20Enterprise%20DevSecOps%20Reference %20Design%20v1.0_Public%20Release.pdf 22