Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
全てのエンジニアに伝えたいDevSecOpsのお話(入門)
Search
yuriemori
December 23, 2023
Technology
310
0
Share
全てのエンジニアに伝えたいDevSecOpsのお話(入門)
2023/12/23のコミュニティイベントでLTで登壇させていただいた際の資料です。
DevSecOpsの入門の入門的なお話です。
yuriemori
December 23, 2023
More Decks by yuriemori
See All by yuriemori
プロンプトエンジニアリングを超えて:自由と統制のあいだでつくる Platform × Context Engineering
yuriemori
0
170
GitHub Advanced Security × Defender for Cloudで開発とSecOpsのサイロを超える: コードとクラウドをつなぐ、開発プラットフォームのセキュリティ
yuriemori
1
130
管理者向けGitHub Enterpriseの運用Tips紹介: 人にもAIにも優しいプラットフォームづくり
yuriemori
0
280
Agentic AI 時代の DevOps セキュリティ 2.0- GitHub Advanced Security × Defender for Cloud による Platform Protection
yuriemori
1
130
プロンプトエンジニアリングを超えて:自由と統制のあいだでつくる Platform × Context Engineering
yuriemori
1
960
生成AI時代のセキュアコーディングとDevSecOps
yuriemori
0
350
JuniorからSeniorまで: DevOpsエンジニアの成長ロードマップ
yuriemori
2
750
生成AI時代だからこそ必要なDevSecOps:概念から実践例まで
yuriemori
1
300
信頼できる開発プラットフォームをどう作るか?-Governance as Codeと継続的監視/フィードバックが導くPlatform Engineeringの進め方
yuriemori
2
770
Other Decks in Technology
See All in Technology
Hello UUID
mimifuwacc
0
130
さくらのクラウドでつくるCloudNative Daysのオブザーバビリティ基盤
b1gb4by
0
150
Databricksで構築するログ検索基盤とアーキテクチャ設計
cscengineer
0
150
Introduction to Sansan, inc / Sansan Global Development Center, Inc.
sansan33
PRO
0
3k
ルールルルルル私的函館観光ガイド── 函館の街はイクラでも楽しめる!
nomuson
0
150
システムは「動く」だけでは足りない 実装編 - 非機能要件・分散システム・トレードオフをコードで見る
nwiizo
2
320
新メンバーのために、シニアエンジニアが環境を作る時代
puku0x
0
700
Eight Engineering Unit 紹介資料
sansan33
PRO
3
7.2k
Strands Agents × Amazon Bedrock AgentCoreで パーソナルAIエージェントを作ろう
yokomachi
2
270
Code Interpreter で、AIに安全に コードを書かせる。
yokomachi
0
140
NgRx SignalStore: The Power of Extensibility
rainerhahnekamp
0
210
OBI+APMでお手軽にアプリケーションのオブザーバビリティを手に入れよう
kenshimuto
0
230
Featured
See All Featured
Sam Torres - BigQuery for SEOs
techseoconnect
PRO
0
240
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
100
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.4k
How to build a perfect <img>
jonoalderson
1
5.4k
[SF Ruby Conf 2025] Rails X
palkan
2
930
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.8k
Ethics towards AI in product and experience design
skipperchong
2
250
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
160
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
64
53k
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
0
200
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
140
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.6k
Transcript
全てのエンジニアに伝えたい DevSecOpsのお話(入門) yuriemori 2023/12/23
Agenda 1. 自己紹介 2. Why DevSecOps Now? 3. ソフトウェアのライフサイクルの中でのDevSecOpsの実践 4.
まとめ
Yurie Mori(森 友梨映) Agile Specialist お仕事 AgileとDevOpsの実践の支援
DevOpsソリューション( Azure DevOps/GitHub )の導入・構築 技術スタック Azure DevOps, GitHub, Azure, .Net, C# Please follow me
Why DevSecOps Now? DevOps • Dev(開発)とOps(運用)がコラボレーションによる 無駄のない(Lean)ソフトウェア開発 • 継続的に顧客に価値を届けるための人、プロセ ス、テクノロジーの集合
DevSecOps • DevOpsの取り組みにおいてセキュリティをどの ように担保するか • DevOpsの実践はソフトウェア開発、デリバリー を高速化するがその中でどのようにセキュリ ティを担保するかが重要になってくる Security/Complianceの担保 +
Maintenance Release Test Build ソフトウェアのライフサイクルの中でのDevSecOpsの 実践(1/3) Plan コラボレーション/ 開発環境の整備 開発
継続的 インテグレーション(CI) ユーザーフィードバック の収集・改善 ソースコード 管理計画 テスト 自動化 継続的 デリバリー(CD) パフォーマンス監視と最 適化 サポート提供/ トラブルシューティング コラボレーション/開発環 境は最小特権の原則に基 づいてアクセス管理がさ れているか シークレット情報をべた 書きしてないか? セキュリティアップデー トはちゃんとしてるか 静的コード解析でソース の中のセキュリティ的な 脆弱性はチェックしてる か? ペネトレーションテスト を定期的に実施している か インシデント発生時のワークフ ローは定義されているか Dev Ops
ソフトウェアのライフサイクルの中での DevSecOpsの実践(2/3) コラボレーション/開発環境は最小特権の原則に基づいてアクセス管理 がされているか 開発チームのメンバーがシステムに対して必要最小限の権限のみを持つよ うにすることで、不正アクセスや権限の乱用を防ぐことができる シークレット情報をべた書きしてないか?
シークレット情報(パスワードやAPI Key)をソースコードの中にそのまま 置くのは漏洩のリスクがあるので、ソースの中には入れない方がよい 静的コード解析でソースの中のセキュリティ的な脆弱性はチェックし てるか? SAST(Static Application Security Testing): 実行前のコードを静的解析 して開発プロセスの早い段階でセキュリティリスクを特定して修正すること ができる ツールでいうとSonarQube, bandit等
ソフトウェアのライフサイクルの中での DevSecOpsの実践(3/3) ペネトレーションテストを定期的に実施しているか DAST(Dynamic Application Security Testing):実行中のアプリケーションに 対して外部から攻撃を模倣し、セキュリティの弱点を探す
例えばペネトレーションテストで検出される問題は、A: 70%, B: 20%, C: 10% に分類されて、A と B は開発行為の中で解消可能なものだとしたら、 90% はちゃんと開発やってれば防げる) セキュリティアップデートはちゃんとしてるか ソフトウェアや依存ライブラリのセキュリティパッチとアップデートは、新 たに発見された脆弱性に対処するために定期的に実施することが必要 インシデント発生時のワークフローは定義されているか なにかが起きないようにすることも大事だけれども、なにかが起きたときに 迅速に対応できるワークフローも同じぐらい大事。
まとめ セキュリティを開発ライフサイクルに統合しよう DevSecOpsは単なるSonarQubeとかGitHub Advanced Securityとかのツールセットではな く、セキュリティをソフトウェア開発のDNAに組み込む文化。 セキュリティは後から付け加えるものではなく、日々の開発ライフサイクルの中に
内在するもの。 攻めのセキュリティ 開発ライフサイクルの中で積極的にセキュリティを考慮して対処することで、修正 コストを削減し、信頼できるプロダクトを速やかにユーザーに提供することができ、 後戻りすることなく前進し続けることができる。 透明性の高いセキュリティ対策によってユーザーとの信頼を築く 明確で透明なセキュリティプロセスはユーザーにとって信頼の証となる
yuriemori
mimifuwacc
b1gb4by
cscengineer
sansan33
nomuson
nwiizo
puku0x
yokomachi
rainerhahnekamp
kenshimuto
techseoconnect
marketingsoph
sergeychernyshev
jonoalderson
palkan
honnibal
skipperchong
sabderemane
soudai
samtorres
tammyeverts
