Tweet
Tweet

Slide 1

Slide 1 text

DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie

Slide 2

Slide 2 text

⾃⼰紹介 • Mayuko Ide/@mayuko_auoie • 株式会社サーバーワークス所属 • 2021/04〜 • 業務内容 • SRE系 • AWS環境構築 • 運⽤

Slide 3

Slide 3 text

⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) • CI/CDパイプライン

Slide 4

Slide 4 text

⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) • CI/CDパイプライン ↑ここに静的解析を入れよう!!!

Slide 5

Slide 5 text

⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) • CI/CDパイプライン ↑ここに静的解析を入れよう!!! DevSecOps

Slide 6

Slide 6 text

Agenda • DevOps • DevSecOps • 実装⽅法 • 実装例 • まとめ

Slide 7

Slide 7 text

DevOps

Slide 8

Slide 8 text

DevOps 「開発(Development)」 「運⽤(Operations)」 概要 メリット 開発からデプロイ・運⽤まで⼀つのチームで管理することで 俊敏性を⾼め、安定したサービスを提供できる 著作者: Kharnagy CC 表⽰-継承 4.0 https://commons.wikimedia.org/w/index.php?curid=51215412

Slide 9

Slide 9 text

DevOps • CI/CD • マイクロサービス • Infrastructure as Code • ⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティ ベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html

Slide 10

Slide 10 text

DevOps • CI/CD • マイクロサービス • Infrastructure as Code • ⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティ ベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html

Slide 11

Slide 11 text

DevOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト

Slide 12

Slide 12 text

DevSecOps

Slide 13

Slide 13 text

DevSecOps 「開発(Development)」 「運⽤(Operations)」 「セキュリティ(Security)」 概要 メリット 開発プロセスの早い段階からセキュリティ取り⼊れ 脆弱性を早期に発⾒し、修正する

Slide 14

Slide 14 text

DevOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト

Slide 15

Slide 15 text

DevSecOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト

Slide 16

Slide 16 text

DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進 ベストプラクティス https://aws.amazon.com/jp/what-is/devsecops/

Slide 17

Slide 17 text

DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進 ベストプラクティス ローカル 開発 ソース コード ビルド テスト デプロイ セキュリティへの取り組みを早い段階へ移す

Slide 18

Slide 18 text

実装⽅法

Slide 19

Slide 19 text

実装⽅法 ローカル 開発 ソース コード ビルド テスト デプロイ (Stg) デプロイ (Prd) CI/CDパイプライン IDEプラグイン Pre-Commit 静的解析(SAST) ソフトウェア構成解析(SCA) ライセンスチェック 動的解析(DAST)

Slide 20

Slide 20 text

IDEプラグイン・Pre-Commit • IDEプラグイン • コードレビュー、改善⽅法の提案などを受けられる • AIの活⽤ • Amazon Q Developerなど • Pre-Commit • git commiの前に指定した処理を実⾏する • 処理は⾃分で指定 • 例えば、アクセスキーなどの機密情報が含まれていないかをチェック

Slide 21

Slide 21 text

静的解析・ソフトウェア構成解析・ライセンスチェック • 静的解析 • 後ほど… • ソフトウェア構成解析 • OSSに脆弱性がないかをチェックする • ライセンスチェック • ライセンスの使い⽅などに問題がないかをチェックする

Slide 22

Slide 22 text

動的解析(DAST) • 動的解析 • アプリケーションを動作させて解析を⾏う • 静的解析とあわせて使うことで検知内容を補完できる • OWASP ZAPが有名︖

Slide 23

Slide 23 text

実装例

Slide 24

Slide 24 text

静的解析(SAST) • ソース コードを静的にスキャンし脆弱性を検知する Amazon CodeGuru Security GitHub Code Scanning

Slide 25

Slide 25 text

まとめ

Slide 26

Slide 26 text

まとめ • ソフトウェアサプライチェーン全体で対応が必要 • パイプライン⾃体のセキュリティ対応も必要 • 導⼊するだけでなく脆弱性が検知されたときの対応検討が必要 • ガイドラインの作成 • 開発者の環境の統⼀ • ワークショップもあります︕ • Security for Developers • https://catalog.workshops.aws/sec4devs/ja-JP

Slide 27

Slide 27 text

ご清聴ありがとうございました

Slide 28

Slide 28 text

DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie