GitLabを活用したDevSecOps

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. GitLabを活用したDevSecOps Keiichi Nakayama
Vice General Manager Cloud Partner Group CHARA-WEB Co., Ltd.

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. 自己紹介 • 中山
桂一 ( @k1nakayama ) • 株式会社キャラウェブクラウドパートナーグループ副部長 • クラウドインテグレーション事業をリード • AWS Community Builders (Serverless) • AWS x Serverless / GitLab / DevSecOps

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. 会社概要 ISO/IEC 27001:2013
& JIS Q 27001:2014 クラウドに関するコンサルティング、設計、構築、運用、管理における認証

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. GitLab Features AI-powered
DevSecOps Platform GitLabはDevSecOpsのプラットフォームであり、ソフトウェア開発ライフサイクル（SDLC）全体を通じて一気通貫で管理が行える

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. GitLabの主な機能 Ø ソースコード管理（SCM）
Ø CI/CD Ø イシュートラッキング/ Portfolio Management Ø コードレビュー Ø Wiki Ø Pages Ø タイムトラッキング Ø セキュリティテスティング Ø Review Apps Ø 各種レジストリ Ø サービスデスク Ø 依存パッケージ管理/SBOM Ø バリューストリーム分析 Ø Web IDE / Remote Development

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. CI/CD GitLabのCI/CDは、`.gitlab- ci.yml`に、ジョブの定義を指定
することで、様々なテスト、ビルド、デプロイを実現することが可能です。ジョブ毎にそのジョブが適用されるルールを設定できるほか、実行環境として使用するDocker Imageを指定したり、ジョブの依存関係や依存するファイル等を定義することが可能です。

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. ポートフォリオマネジメント GitLabでは、イシュートラッキングの機能と併せて、Epicやマイ
ルストーンという機能を提供しています。 Epicでは、イシューよりも大きなテーマに対するスケジュールや関連するイシューを管理し、マイルストーンではリリースに向けた期間内で処理するべきイシューの進捗等を管理することができます。出典：GitLab

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. DevSecOpsとはセキュリティへの取り組みを早い段階に組み込み（シフトレフト）、手戻りを最小限に抑える
セキュリティ診断セキュリティ診断

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. シフトレフトによる効果の具体例 Ø ストレージの暗号化をせずデプロイし、公開してしまったが、リ
リース後の監査により、社内のセキュリティポリシーに違反していることが判明 u既にデータが入り始めており、過去データのマイグレーションと、暗号化設定済みのストレージに移行することになり、本来必要なかった作業が大幅に発生 ü IaCスキャンを設計後の早い段階などで実施していたら、暗号化設定を追加するだけで済んでいた

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. シフトレフトによる効果の具体例 Ø 自社のSaaSサービスに対して、AGPLライセンスを使用してい
る疑いがある旨の問い合わせと、その場合にサービス全体のコード開示を要求する指摘が入った u1つの依存ライブラリのライセンスを管理できていなかったことで、ビジネスにおいて致命的な問題に発展した ü テスト段階において、依存関係スキャンや依存ライブラリにおけるライセンスチェックを行っていたら、公開前に他のライブラリに差し替えることが出来ていた

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. GitLabを使ったセキュリティテスト uSAST（Static Application
Security Testing）ソースコードを解析し、脆弱性を検出する 25種類もの言語やフレームワークに対応 uDependency Scanning パッケージマネージャーの依存関係から、既存のライブラリの脆弱性を検出する併せて、各パッケージのライセンスをチェックする uSecret Detection ソースコード内のシークレット等の秘匿情報漏えいをチェックする

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. GitLabを使ったセキュリティテスト uContainer Scanning
Dockerベースのアプリケーションについて、イメージや使用されているライブラリ等についての脆弱性を検出します uInfrastructure as Code Scanning(IaC Scan) CloudFormationテンプレートやTerraform、OpenAPI、 Dockerfileなど、IaCを解析し、ベストプラクティスに沿っていない点を検出します AWS CDKやServerless Framework等もCloud Formationテンプレートとして出力することで解析可能

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. GitLabを使ったセキュリティテスト uDAST（Dynamic Application
Security Testing） URLに対しWebアプリをクローリングし、動的に様々なリクエストを実際に行うことで、脆弱性を検出する uAPI Fuzz Testing OpenAPIドキュメントに沿って、実際にランダムなリクエストを APIに行うことで、脆弱性を検出する

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. GitLabを使ったその他のテスト uCode Quality
ソースコードを解析し、ソースコードの保守性やスタイル等のコード品質をチェックします uBrowser Performance Testing Webサイトのレンダリングパフォーマンスを測定します

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. GitLabでのセキュリティテスト実施設定 GitLabのCIの設定を記述する「.gitlab-ci.yml」に、右記のよう
なGitLabが提供するテンプレートの読み込み設定を追加するだけで、各種セキュリティテストが有効化され、実施される ※ DAST、Browser Performance Testなどは、CIの中でアプリケーションをデプロイし、結果のURLを渡す必要がある stages: - build - test - deploy - dast - performance - cleanup include: - template: Code-Quality.gitlab-ci.yml - template: Jobs/SAST.latest.gitlab-ci.yml - template: Jobs/Secret-Detection.latest.gitlab-ci.yml - template: Jobs/SAST-IaC.latest.gitlab-ci.yml - template: Jobs/Dependency-Scanning.gitlab-ci.yml - template: DAST.latest.gitlab-ci.yml - template: Verify/Browser-Performance.gitlab-ci.yml 上記は、Code Quality、SAST、Secret Detection、IaC Scanning、Dependency Scanning、DAST、Browser Performance Testingを実施する場合の設定

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. マージ前にテスト結果を確認し判断フィーチャーブランチで変更を行い、マージリクエスト
（MR,GitHub等でいうところのプルリクエスト）を行う画面上で、それぞれのセキュリティテストの結果を確認でき、このままマージを承認してよいかを判断することができる

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. セキュリティポリシー、コンプライアンステスト結果に応じて、特定のライセンスが使用されていることが
検出された場合や、脆弱性が検出された場合などに、特定の人や一定のロールを持つ人の承認を一定数得られなければマージできない、といったルールを設定できます。また、特定のテストを実行していなければマージ出来ないというポリシーも設定できます。

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. マージ後も継続的に脆弱性を一元管理マージ後にプロジェクトに残された脆弱性について、脆弱性ダッ
シュボードにて一元管理でき、それぞれの脆弱性について、トリアージして管理することが可能。必要に応じてワンクリックで Issue化することもできる。

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. AIを活用した脆弱性対応脆弱性として検出される内容は多種多様なものがあり、セキュ
リティの専門家であっても、その脆弱性についての説明や対応方法を全て提示することは難しいです。 GitLabは、AIを活用し、ボタン１つで脆弱性の説明、脅威の内容、対応策を説明します • レビュアーの提案 • コードの提案（Visual Studio Code等のIDE上で、コード提案を受けながらコーディングを進められる） • コードの説明（選択したコード部分が何をしているコードかを説明する） • GitLab Chat • マージリクエストのサマリー • マージリクエストに対するレビューのサマリー • マージリクエスト時のコードに対するテストコードの生成 • イシューのディスカッションについてのサマリー

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. デプロイまでの基本フローコードプッシュ毎にセキュリティテストの実行
マージ後も再度セキュリティテストの実行コードプッシュ毎にReviewAppをデプロイし、実際のアプリを対象にDAST等も行える ※マージしたら ReviewAppやフィーチャーブランチは自動的に削除するまずはマージリクエストを作成し、同時にフィーチャーブランチ作成

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. 設計段階の成果物としてIaC Ø IaCでインフラのセキュリティを固める
クラウド上でのイベントフローなどを設計した上で、全体的なアーキテクチャを設計したら、AWS CDKやTerraform等で全体的なコンポーネントを定義し、APIについてもOpenAPIドキュメント（Swagger）を作成しIaCスキャンにかける ü アプリケーション構築前から、足回りのセキュリティを考慮しておくことで、アプリケーション開発時に実装するべき内容が明確になり、セキュリティ対応に掛ける時間が短縮できる

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. ReviewAppを必ずデプロイ Ø 実際にデプロイすると網羅的にチェックできる
マージリクエスト時に変更されたコードだけ見ても、本当に意図した通り動くかを正確に見極めることは難しく、マージした後で実際にデプロイしたら動かないだと、全体的な手戻りが発生する ü 実際のデプロイされた環境があれば、コードと併せて実際の意図した動きをするかを確認できるだけでなく、ReviewAppに対するDASTやPerformance Test、Fuzz Testなどを実行することができる ü クラウド上の各種サービスに対する権限設定が正しいかも、実際の動きをみて確認できる

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. WAF等での対応策も検討 Ø 全部の脆弱性を潰してからリリースは非現実的
プロジェクトの規模感によっては、最初からDevSecOpsを実践し、初期段階からセキュリティテストをしていても、大量の脆弱性の指摘がでることも ü 全部対応することが絶対ではなく、市場への価値提供のリードタイムを優先するべき状況もあり得る ü AIによる脆弱性の説明機能を活用し、脅威や攻撃手法の把握を行い、必要に応じてWAF等で軽減処置を行うことも検討するべき

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. 開発フェーズで改善できるところはないか？上記は、とあるプロジェクトのバリューストリーム分析をカスタム設定により、開発フェーズ毎に分析したものです。
イシューがBacklogに入った後、1日程度後で着手され、そのイシューは7時間で構築が完了しレビューに移行しています。そして、レビュー状態が1日経過して、ようやくリリース出来る状態になっていることが分かります。これを見ることで、このチームは、レビューをもっと早く進められれば、市場への価値提供が1日早く改善できることが分かります。

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. 導入効果 Ø コード品質が向上
脆弱性対応を進めやすくするためにも、コード品質を上げてコード修正がしやすい形に変えていこうとするため、コード品質が向上する Ø スキル向上脆弱性対応を進めるために、自分たちが持っていない知識を調べて対応するため、広い範囲での知識が身につきやすい Ø 手戻りが少なくなる早い段階で網羅的にテストするため、手戻りが少なくなり生産性向上していく

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. 導入効果 Ø マージ時の心理的ハードルが下がる
ReviewAppにより実際に動くことをマージ前に確認できることや、様々なテストの結果、指摘がない状態でレビュー依頼ができると、レビューイ側も自信をもってリクエストできる。レビュアー側も同様に、自分の確認漏れによるマージ後の問題を気にすることが少なくなり、スムーズにレビューが行える Ø クラウドのベストプラクティスに対応できる IaCスキャンの結果に対応していくことで、必然とクラウドのベストプラクティスに対応していくことができる

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. まとめ ØGitLabはSDCL全般に必要な、網羅的な機能を提供している ØDevSecOpsの実践には、GitLabを使うことで一気通貫で解決
ØGitLabのセキュリティテスティングは、アプリケーションセキュリティのテストに必要な各種テストを実行できる ØIaCにより、クラウドのベストプラクティスに対応 ØAIの活用で、セキュリティ専門家不在でも内製で対応可能 Øバリューストリーム分析で、開発生産性を向上させられる

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. GitLab導入支援 • GitLabを活用したCI/CDの構築支援
• GitLab Self-Managed版環境構築（AWS上での構築） • GitLab Runner（Specific Runner）構築（AWS上での構築） • GitLab活用についてのコンサルティング • ラベル運用の自動化支援 • AWSとのインテグレーション支援 • 各種ハンズオンやFree Trialのご提供

© 2023, CHARA-WEB Co.,Ltd. All rights reserved. AWS導入支援 • サーバーレス関連を中心としたアドバイザリー
AWS Lambda SDP 取得済み • 開発内製化支援（顧客と共創する形での開発支援など） • AWSアカウントリセール Solution Partner Program 取得済み • Momento ｘ AWSのインテグレーション Momento リセラー

Accelerate your business with the cloud.

GitLabを活用したDevSecOps

GitLabを活用したDevSecOps

More Decks by k1nakayama

Other Decks in Technology

Featured

Transcript