DevSecOps CI/CDツール導入のススメ

Transcript

1. Ryosuke Tomita
 DevSecOpsを
 個人開発に取り入れてみた
 Sigma

2. 最初に言っておこう
 • 自己研鑽でやったことの紹介に近いかも • 嘘言ってたらすみません • 手抜きで汚いスライド注意! ◦ 発表の見栄えを良くするよりも試行錯誤を優先してしまった

3. 目次
 • DevSecOpsとは • 取り入れたセキュリティ対策(ツールの導入) ◦ 環境紹介 ◦ 導入したツールの紹介等 ◦

   感想

4. DevSecOpsとは

5. DevOpsとは
 少人数のチームが全体をまとめてスピード感UP→個人開発と相性良 https://www.nri-secure.co.jp/service/consulting/devsecops

6. CI/CDパイプラインによる自動化
 https://www.networld.co.jp/solution/container_businessmaster/chapter4_3.html

7. 従来型の開発におけるセキュリティ
 • 基本設計: チェックリスト，ガイドラインの確認 • コーディング: コーディング規約 • リリース前のセキュリティ診断

8. DevOpsに対するセキュリティ(DevSecOps)
 DevOpsのセキュリティの問題点 • リリース速度が早く，毎回セキュリティ診断するのは大変 • ガイドラインが技術の変化に追いついていない • チェックリストを手動でチェックする負担大 開発の中にセキュリティを組み込むことが必用→DevSecOps

9. SHIFT LEFT
 DevSecOpsでは開発の俊敏性を損なわずにセキュリティ対策したい • 設計段階でセキュリティ対策: 設計評価 • 開発の中にセキュリティテストを組みこむ→ツールによる自動化

10. https://www.slideshare.net/pumasecurity/devsecops-key-controls-to-modern-security-success

11. 取り入れた セキュリティ対策 やってみせろよマ フィティー

12. 使用した技術
 • Reactのアプリを • Dockerでビルドして • AWS ECS on Fargate公開しちゃおう(未完成)

    セキュリティなんもわからん

13. 全体構成図
 Copilot CLI Code Pipeline ECS(開発) ECS(本番) Extensions Image Scan

    コードスキャン 承認後に本番 デプロイ

14. Pre-Commitフェーズでの セキュリティ対策

15. Pre-Commit(コミット前の対策)
 • VSCodeのExtensions • pre-commit hooksによるコミット前の検査 • Rapid-Risk-Assessment • Peer

    Code Review 脆弱なコードがリポジトリに取り込まれないようにする

16. VSCode Extensions
 • Hadolint: Dockerfileのベストプラクティス • ESLint: JS，TSの構文チェック • Prettier

    ESLint: Formatter • (Code Spell Checker) コードを書く時にセキュリティを意識，書き方 を統一!

17. Rapid Risk Assessment
 • doc/rapid-risk-assessment.mdを配置 • どんなリスクがあるか洗い出しておく→個人の場合はがんばる

18. pre-commit hooks
 • コミット前に簡易的な検査を実行し，違反していたらコミットさせない • git-secrets: APIキーやパスワード等を検知 • 余力があれば，LinterとかFormatterをいれると良い ◦

    Hadolint: Docker ◦ Prettier: TSのFormatter ◦ ESLint: ESのLinter ◦ CloudFormationのLinter: cfn_nag ◦ conftest: k8sのmanifestとか
19. None

20. Peer Code Review
 • ぼっちなので無理 • ChatGPTとGithub Copilotに助けてもらおう

21. Commitフェーズでの セキュリティ対策

22. Commit(CI)
 • SAST(Static Application Security Testing) • Unit Test •

    Dependency Check: ライブラリのチェック • Image Scan Code Pipeline

23. SAST，Unit Testの自動化
 • Semgrepと単体テストの実行を自動化 • GitHub Actionsを使ってコードをpush時+定期実行

24. None
25. None

26. Dependency Check
 • Trivyを使う • package.jsonやpom.xml等をスキャンして脆弱なライブラリを指摘して CVEと紐づけしてくれる

27. Image Scan
 • AWS Copilot CLIを使ってコンテナビルドを行う関係上， Image ScanはAWS側で行った • mainブランチにマージした時にCode

    Pipelineのソースが更新され Image Scanとデプロイが進むようにした AWS Code Pipeline
28. None

29. 脆弱性が見つかったらDocker Desktopのほうが見やすい


30. その他の部分 (あんまやれてない)

31. Acceptance
 • IaC化 • Config Management • DAST: OWASP ZAPを使う予定だったが取り入れられず。

    AWS Copilot CLIが作ってくれた

32. PRODUCTION
 • Secrets Management: AWS SSM，Github Actions Secrets? • Safety

    checks • Server Hardening • Security Smoke Test なにしたらいいかよくわかってない

33. OPERATIONS
 • Continuous Monitoring: AWS ConfigとかCloud Trailとか • Threat Inteligence:

    piyokangoさんを見る • Penetration Test: 実施せず • Blameless Postmortems: 誰も攻めない自己分析は大事(組織作り?)

34. 全体を通した感想など
 • いろいろな実装方法があるので親しみのあるもので環境作成したが， コストとか考えると最適解は難しい ◦ (AWS Copilot CLIの使い勝手がいいのでこれに合わせてしまった) • pre-commitは脆弱なコードをそもそもリポジトリに入れないのは素敵だが，可用性

    が落ちるのでどこまでやるか要検討 • 脆弱性に気づけても直せるか，(直す気になるか)は別問題 • 生成AIしかり，ツールの出来が良くなってきているので時代に置いていかれないよ うにがんばりたい →体系的に学ぶだけでなく実践で学ぶ力が必用かも