Snyk で実現する DevSecOps 2024/09/13 

DevSecOps とは DevSecOpsとは、情報システムにおいて、 「開発（Dev）」と「運用（Ops）」が密に 連携し、かつ「セキュリティ（Sec）」を高 い状態に保つことを指します。 https://www.dynatrace.com/ja/solutions/devsecops/ 

Snyk とは 脆弱性管理ツール。静的スキャンによるリス ク低減、コードからコンテナ・IaC に亘る包 括的な管理が可能 https://snyk.io/jp/ 

Dev-Sec 安全な開発環境、安全な開発方法で、安全な成果物を作る 

Dev-Sec と Snyk やること コードの静的解3 1 開発者の手元でスキャ! 1 GIt上でのスキャン できること 1 CI/CDパイプラインへのセキュリティ対策の統o 1 開発者がセキュリティを意識して開発できるよう になる → セキュリティが担保されたアプリケーションを開発 者の負担感なく実現できる 課題 1 一定以上脆弱性を減らし切るまでは着手で きな 1 開発対象でないソースコード・リポジトリ の脆弱性に対応するトリガーがない → 網羅的なセキュリティが担保できない 

Ops-Sec 安全なシステムを提供し続ける 

Ops-Sec と Snyk やること G レジストリのCVEの調6 G 実行中のイメージを定期的にスキャ$ G ミスコンフィグの検知・修正 できること G 実行中のコンテナイメージの脆弱性スキャ$ G ビルド後の脆弱性スキャ$ G ミスコンフィグの修正 → 網羅的な対応ができる 課題 G トリアージの効率化がつら{ G 開発チームとのコミュニケーションと脆弱性 対応の追跡方法がつらい → 運用がつらい 

DecOpsSec の運用 H 落ち着いて対応できる量になるまでは Ops-Sec で対4 H Dev-Sec 対応を基本戦略とす9 H 緊急対応が必要なCVEは Ops-Sec で対応 

導入と定着 導入 ! 必要性を説明して温度感を上げ$ ! ツールの使い方を説d ! 開発タスクに組み込2 ! 開発チームのセキュリティ責任者を決め$ ! 導入完了までは定例MT ! 課題があれば一緒に解決策を模索する 現状把握 ! 組織全p ! 温度j ! 予算j ! 開発チー— ! 余• ! セキュリティ現… – 無料スキャンで把握 運用 ! スクラム、カンバン等の開発フローに組み込2 ! 開発チームが自ら運用できるルールを決め$ ! 週に何 ! 対応する曜 ! 緊急性が高いものは差し込みで