開発エンジニアが実践するDevSecOps

Transcript

1. ։ൃΤϯδχΞ͕࣮ફ͢ΔDevSecOps ηΩϡϦςΟΛҙࣝͨࣗ͠ಈԽͷऔΓ૊Έͷ঺հ ࣍ظϑϩϯτγεςϜ։ൃ෦ ೥݄೔
   !
   %FW4FD0QT࠷લઢ
   ϑϩϯτϥϯφʔ͔ΒֶͿ࠷৽τϨϯυͱ੒ޭࣄྫ

2. 2 WHO!? ౉ลҰ޺ JCOMגࣜձࣾ ࣍ظϑϩϯτγεςϜ։ൃ෦ WebΞϓϦέʔγϣϯͷ։ൃ DevOps؀ڥͷߏஙɾӡ༻ Ϋϥ΢υΠϯϑϥͷߏஙɾӡ༻

3. 3 ݱߦγεςϜͷ՝୊
   ৽ج൫ͷ໨తɾίϯηϓτ
   w ηΩϡϦςΟɾ඼࣭ͷ୲อ
   w EFW͕Ͱ͖ΔηΩϡϦςΟΛҙࣝͨ͠औΓ૊Έ
   w పఈతͳࣗಈԽ
   w

   ܧଓతσϦόϦʔ
   
   $%
   w *OGSBTUSVDUVSF
   BT
   $PEF
   
   *B$
   w ܧଓతΠϯςάϨʔγϣϯ$* "HFOEB

4. 4 ԿΛ͍ͯ͠Δ෦ॺ͔ʁ

5. ݱߦγεςϜͷ՝୊

6. 6 ೥΋ͷͷݹ͍γεςϜ
   w ओʹ1)1ɺ$
   ࣗಈςετ͕ͳ͍
   σϓϩΠ࣌ʹਓखͰͷ࡞ۀ͕ඞཁ
   ӡ༻্ͷ໰୊
   w ຊ൪؀ڥͷϩάӾཡ ݱߦγεςϜͷ՝୊

7. ৽ج൫ͷ໨తɾίϯηϓτ

8. 8 ੜ࢈ੑͷ޲্
   
   ແବͳۀ຿ͷഉআ
   w ηΩϡϦςΟɾ඼࣭ͷ୲อ
   ੩తղੳͳͲ͞·͟·ͳπʔϧΛར༻ͯ͠ɺ੬ऑੑͷݕ஌ΛࣗಈԽ͠ɺঢ় ଶΛՄࢹԽ͢Δ͜ͱͰӡ༻ෛՙΛܰݮ͢Δ
   w పఈతͳࣗಈԽ
   ࠷େݶ$*$%ύΠϓϥΠϯԽ͠ɺϏϧυɾσϓϩΠɺΠϯεϖΫγϣϯɺ ςετɺΠϯϑϥߏஙͳͲ༷ʑͳۀ຿ΛࣗಈԽ͢Δ

   ৽ج൫ͷ໨తɾίϯηϓτ

9. 9 ੜ࢈ੑͷ޲্
   
   ແବͳۀ຿ͷഉআ
   w ηΩϡϦςΟɾ඼࣭ͷ୲อ
   ੩తղੳͳͲ͞·͟·ͳπʔϧΛར༻ͯ͠ɺ੬ऑੑͷݕ஌ΛࣗಈԽ͠ɺঢ় ଶΛՄࢹԽ͢Δ͜ͱͰӡ༻ෛՙΛܰݮ͢Δ
   w పఈతͳࣗಈԽ
   ࠷େݶ$*$%ύΠϓϥΠϯԽ͠ɺϏϧυɾσϓϩΠɺΠϯεϖΫγϣϯɺ ςετɺΠϯϑϥߏஙͳͲ༷ʑͳۀ຿ΛࣗಈԽ͢Δ

   ৽ج൫ͷ໨తɾίϯηϓτ

10. 10 ίʔυͷηΩϡϦςΟରࡦ
    ੬ऑੑΛຒΊࠐ·ͳ͍ͨΊʹɺ੩తղੳ΍ෳࡶੑνΣοΫΛ׆༻͢Δ
    ར༻͍ͯ͠ΔϥΠϒϥϦ܈ͷηΩϡϦςΟରࡦ
    ߋ৽ͷݕ஌ΛࣗಈԽ͢ΔͨΊɺEFQFOEBCPUͰ13࡞੒ΛࣗಈԽ
    ࣮ߦ؀ڥͷηΩϡϦςΟ
    USJWZ
    
    (JUIVC
    "EWBODFE
    4FDVSJUZͰ੬ऑੑΛҰݩ؅ཧ
    αʔϏεΛఏڙ͢ΔϓϥοτϑΥʔϜͷηΩϡϦςΟ
    ϩάΛ౷߹తʹ؅ཧ͠ɺγεςϜͷঢ়ଶͷ֬ೝ΍ௐ͕ࠪͰ͖ΔΑ͏ʹ͢Δ
    

    ଞʹ΋΍ΕΔ͜ͱ͕͋Γͦ͏ɺࠓޙͷ՝୊ ηΩϡϦςΟɾ඼࣭ͷ୲อ EFW͕Ͱ͖ΔηΩϡϦςΟΛҙࣝͨ͠औΓ૊Έ

11. 11 ੜ࢈ੑͷ޲্
    
    ແବͳۀ຿ͷഉআ
    w ηΩϡϦςΟɾ඼࣭ͷ୲อ
    ੩తղੳͳͲ͞·͟·ͳπʔϧΛར༻ͯ͠ɺ੬ऑੑͷݕ஌ΛࣗಈԽ͠ɺঢ় ଶΛՄࢹԽ͢Δ͜ͱͰӡ༻ෛՙΛܰݮ͢Δ
    w పఈతͳࣗಈԽ
    ࠷େݶ$*$%ύΠϓϥΠϯԽ͠ɺϏϧυɾσϓϩΠɺΠϯεϖΫγϣϯɺ ςετɺΠϯϑϥߏஙͳͲ༷ʑͳۀ຿ΛࣗಈԽ͢Δ

    ৽ج൫ͷ໨తɾίϯηϓτ

12. పఈతͳࣗಈԽ

13. 13 w ܧଓతσϦόϦʔ
    
    $%
    w ֤؀ڥ΁ͷσϓϩΠΛࣗಈԽ
    w *OGSBTUSVDUVSF
    "T
    $PEF
    
    *B$
    w ֤؀ڥͷϓϩϏδϣχϯάΛࣗಈԽ
    w

    ͦͷଞఆظλεΫͷࣗಈԽ
    w HJUIVCͷϝτϦοΫͷ؂ࢹ ۭ͖γʔτ਺ɺ()"ͷ࣮ߦ࣌ؒʜ ओͳࣗಈԽͷॲཧ $%ɾ*B$ɾͦͷଞ

14. ܧଓతσϦόϦʔ
    
    $%

15. 15 ओͳࣗಈԽͷॲཧ ֤؀ڥ΁ͷσϓϩΠͷࣗಈԽ ί υ ͷ ν Ϋ Ξ ΢

    τ ί ϯ ς φ Ϩ δ ε τ Ϧ ʹ ϩ ά Π ϯ λ ά ໊ Λ औ ಘ ί ϯ ς φ Λ build & push λ ά ໊ ͔ Β Ϧ Ϗ δ ϯ ໊ Λ ࡞ ੒ Azure ϩ ά Π ϯ ࣮ ߦ த ͷ Ϧ Ϗ δ ϯ Λ औ ಘ ৽ ͠ ͍ Ϧ Ϗ δ ϯ Λ σ ϓ ϩ Π (traf c: 0%) Azure ϩ ά Π ϯ ৽ چ ͷ Ϧ Ϗ δ ϯ ͷ traf c Λ ೖ ସ ͑ Azure ϩ ά Π ϯ چ Ϧ Ϗ δ ϯ Λ ࡟ আ Build Deploy Flip Deactivate ঝೝ ঝೝ ϦϦʔελάΛ࡞੒ Ұ୴͜͜Ͱఀࢭ

16. *OGSBTUSVDUVSF
    "T
    $PEF
    
    *B$

17. 17 ओͳࣗಈԽͷॲཧ ֤؀ڥͷϓϩϏδϣχϯάΛࣗಈԽ IaC ί υ ͷ จ ๏ ν

    Ϋ STG ֤ ؀ ڥ ͱ ͷ ࠩ ෼ Λ औ ಘ ࠩ ෼ Λ PR ί ϝ ϯ τ ʹ ౤ ߘ IaC ί υ ͷ จ ๏ ν Ϋ ϓ ϩ Ϗ δ χ ϯ ά ࣮ ߦ PR࡞੒ ঝೝ UAT PROD Bicepίʔυͱ ࠩ෼Λൺֱ ໰୊͕ͳ͚Ε͹ Ϛʔδ ϨϏϡʔ ϦϦʔε ߏ੒มߋ Ұ୴͜͜Ͱఀࢭ

18. ܧଓతΠϯςάϨʔγϣϯ
    
    $*

19. 19 w 13࡞੒࣌ʹ6OJU5FTUͳͲΛࣗಈ࣮ߦ
    w ఆظతʹEFQFOEBCPUͰґଘؔ܎ͷߋ৽Λࣗಈݕ஌
    w όοΫΤϯυ"1*
    w NBJOϒϥϯνߋ৽࣌ʹ"1*ఆٛΛ(JUIVC
    1BHFTʹσϓϩΠ
    w

    ϑϩϯτΞϓϦ޲͚"1*ΫϥΠΞϯτͷQVCMJTI
    w %PDLFSίϯςφͷఆظతͳ੬ऑੑεΩϟϯ
    w ϑϩϯτΞϓϦ
    w NBJOϒϥϯνߋ৽࣌ʹ4UPSZCPPLΛ(JUIVC
    1BHFTʹσϓϩΠ ओͳࣗಈԽͷॲཧ $*

20. 20 w 13࡞੒࣌ʹ6OJU5FTUͳͲΛࣗಈ࣮ߦ
    w ఆظతʹEFQFOEBCPUͰґଘؔ܎ͷߋ৽Λࣗಈݕ஌
    w όοΫΤϯυ"1*
    w NBJOϒϥϯνߋ৽࣌ʹ"1*ఆٛΛ(JUIVC
    1BHFTʹσϓϩΠ
    w

    ϑϩϯτΞϓϦ޲͚"1*ΫϥΠΞϯτͷQVCMJTI
    w %PDLFSίϯςφͷఆظతͳ੬ऑੑεΩϟϯ
    w ϑϩϯτΞϓϦ
    w NBJOϒϥϯνߋ৽࣌ʹ4UPSZCPPLΛ(JUIVC
    1BHFTʹσϓϩΠ ओͳࣗಈԽͷॲཧ $*

21. 21 ओͳࣗಈԽͷॲཧ 13࡞੒࣌ʹ6OJU5FTUͳͲΛࣗಈ࣮ߦ ί ϯ ς φ ͷ Ϗ ϧ

    υ ί σ ϯ ά ε λ Π ϧ ν Ϋ phpstan ʹ Α Δ ੩ త ղ ੳ UnitTest ɾ Feature Test ͷ ࣮ ߦ SonarQube ʹ Α Δ ੩ త ղ ੳ ࣮ ߦ ݁ Ռ Λ Teams ʹ ௨ ஌ SonaeQube Badge Λ PR ί ϝ ϯ τ ʹ ౤ ߘ ίʔυͷ৴པੑɾอकੑ޲ ্ͷࢪࡦ
    w ݕ஌಺༰ͷྫ
    w ܕͷෆҰகͷݕ஌
    w ଘࡏ͠ͳ͍Ϋϥε΍ϝ ιουͷݺͼग़͠
    w ഑ྻΩʔ΍ϓϩύςΟͷ ະఆٛΞΫηε
    w ౸ୡෆೳͳίʔυ 4"45ʢ੩తΞϓϦέʔγϣϯη ΩϡϦςΟςετʣ
    w ݕ஌಺༰
    w όά΍ηΩϡϦςΟͷ੬ऑੑ
    w ίʔυͷॏෳɺෳࡶੑɺίʔ σΟϯάن໿ҧ൓
    w ςετΧόϨοδͷଌఆ
    w ٕज़తෛ࠴ͷఆྔԽ
    

22. 22 w 13࡞੒࣌ʹ6OJU5FTUͳͲΛࣗಈ࣮ߦ
    w ఆظతʹEFQFOEBCPUͰґଘؔ܎ͷߋ৽Λࣗಈݕ஌
    w όοΫΤϯυ"1*
    w NBJOϒϥϯνߋ৽࣌ʹ"1*ఆٛΛ(JUIVC
    1BHFTʹσϓϩΠ
    w

    ϑϩϯτΞϓϦ޲͚"1*ΫϥΠΞϯτͷQVCMJTI
    w %PDLFSίϯςφͷఆظతͳ੬ऑੑεΩϟϯ
    w ϑϩϯτΞϓϦ
    w NBJOϒϥϯνߋ৽࣌ʹ4UPSZCPPLΛ(JUIVC
    1BHFTʹσϓϩΠ ओͳࣗಈԽͷॲཧ $*

23. 23 ఆظతʹEFQFOEBCPUͰґଘؔ܎ͷߋ৽Λࣗಈݕ஌ IUUQTEPDTHJUIVCDPNKBDPEFTFDVSJUZHFUUJOHTUBSUFEEFQFOEBCPURVJDLTUBSUHVJEF

24. 24 w 13࡞੒࣌ʹ6OJU5FTUͳͲΛࣗಈ࣮ߦ
    w ఆظతʹEFQFOEBCPUͰґଘؔ܎ͷߋ৽Λࣗಈݕ஌
    w όοΫΤϯυ"1*
    w NBJOϒϥϯνߋ৽࣌ʹ"1*ఆٛΛ(JUIVC
    1BHFTʹσϓϩΠ
    w

    ϑϩϯτΞϓϦ޲͚"1*ΫϥΠΞϯτͷQVCMJTI
    w %PDLFSίϯςφͷఆظతͳ੬ऑੑεΩϟϯ
    w ϑϩϯτΞϓϦ
    w NBJOϒϥϯνߋ৽࣌ʹ4UPSZCPPLΛ(JUIVC
    1BHFTʹσϓϩΠ ओͳࣗಈԽͷॲཧ $*

25. 25 NBJOϒϥϯνߋ৽࣌ʹ"1*ఆٛΛ(JUIVC
    1BHFTʹσϓϩΠ

26. 26 w 13࡞੒࣌ʹ6OJU5FTUͳͲΛࣗಈ࣮ߦ
    w ఆظతʹEFQFOEBCPUͰґଘؔ܎ͷߋ৽Λࣗಈݕ஌
    w όοΫΤϯυ"1*
    w NBJOϒϥϯνߋ৽࣌ʹ"1*ఆٛΛ(JUIVC
    1BHFTʹσϓϩΠ
    w

    ϑϩϯτΞϓϦ޲͚"1*ΫϥΠΞϯτͷQVCMJTI
    w %PDLFSίϯςφͷఆظతͳ੬ऑੑεΩϟϯ
    w ϑϩϯτΞϓϦ
    w NBJOϒϥϯνߋ৽࣌ʹ4UPSZCPPLΛ(JUIVC
    1BHFTʹσϓϩΠ ओͳࣗಈԽͷॲཧ $*

27. 27 %PDLFSίϯςφͷఆظతͳ੬ऑੑεΩϟϯ

28. 28 w 13࡞੒࣌ʹ6OJU5FTUͳͲΛࣗಈ࣮ߦ
    w ఆظతʹEFQFOEBCPUͰґଘؔ܎ͷߋ৽Λࣗಈݕ஌
    w όοΫΤϯυ"1*
    w NBJOϒϥϯνߋ৽࣌ʹ"1*ఆٛΛ(JUIVC
    1BHFTʹσϓϩΠ
    w

    ϑϩϯτΞϓϦ޲͚"1*ΫϥΠΞϯτͷQVCMJTI
    w %PDLFSίϯςφͷఆظతͳ੬ऑੑεΩϟϯ
    w ϑϩϯτΞϓϦ
    w NBJOϒϥϯνߋ৽࣌ʹ4UPSZCPPLΛ(JUIVC
    1BHFTʹσϓϩΠ ओͳࣗಈԽͷॲཧ $*

29. 29 NBJOϒϥϯνߋ৽࣌ʹ4UPSZCPPLΛ(JUIVC
    1BHFTʹσϓϩΠ

30. ϩάΛ౷߹తʹ؅ཧ͠ɺγεςϜͷঢ়ଶͷ֬ೝ΍ௐ͕ࠪͰ͖ΔΑ͏ʹ͢Δ

31. 31 αʔϏεΛఏڙ͢ΔϓϥοτϑΥʔϜͷηΩϡϦςΟ ϩάΛू໿ ӬଓԽ ϑϩϯτΞϓϦϩά ෆมϙϦγʔͷద༻
    ϩάͷϥΠϑαΠΫϧઃఆ ϩάɾϝτϦοΫΞϥʔτ Ξϥʔτ௨஌ υΩϡϝϯτࢀর

    ϩάΛ౷߹తʹ؅ཧ͠ɺγεςϜͷঢ়ଶͷ֬ೝ΍ௐ͕ࠪͰ͖ΔΑ͏ʹ͢Δ

32. 32 4POBS2VCF

33. 33 ੜ࢈ੑͷ޲্
    
    ແବͳۀ຿ͷഉআ
    w ηΩϡϦςΟɾ඼࣭ͷ୲อ
    ੩తղੳͳͲ͞·͟·ͳπʔϧΛར༻ͯ͠ɺ੬ऑੑͷݕ஌ΛࣗಈԽ͠ɺঢ় ଶΛՄࢹԽ͢Δ͜ͱͰӡ༻ෛՙΛܰݮ͢Δ
    w పఈతͳࣗಈԽ
    ࠷େݶ$*$%ύΠϓϥΠϯԽ͠ɺϏϧυɾσϓϩΠɺΠϯεϖΫγϣϯɺ ςετɺΠϯϑϥߏஙͳͲ༷ʑͳۀ຿ΛࣗಈԽ͢Δ

    ৽ج൫ͷ໨తɾίϯηϓτ

34. ࠓޙ΋༷ʑͳվળΛਐΊΔՌͯ͠ͳ͍ಓͷΓΛొΓଓ͚·͢

35. None