Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
全てのエンジニアに伝えたいDevSecOpsのお話(入門)
Search
yuriemori
December 23, 2023
Technology
0
120
全てのエンジニアに伝えたいDevSecOpsのお話(入門)
2023/12/23のコミュニティイベントでLTで登壇させていただいた際の資料です。
DevSecOpsの入門の入門的なお話です。
yuriemori
December 23, 2023
Tweet
Share
More Decks by yuriemori
See All by yuriemori
Azure Pipelinesを使用したCICDベースラインアーキテクチャ実践
yuriemori
0
190
マルチテナントでのサービスコネクションを使用したAzure DevOps⇔Azure でのデプロイ実践
yuriemori
0
170
Azure DevOpsを活用したマルチチーム開発: ソース管理とセキュアプラクティス
yuriemori
0
220
エンジニアのキャリア開発と自己研鑽について
yuriemori
0
400
忙しい人のためのClean Architecture
yuriemori
1
240
Clean Architecture輪読会チームのチーム開発環境チラ見せ
yuriemori
1
87
AzureDevOpsを使ったScrumの実践_あるある問題への対処方を考えてみた.pdf
yuriemori
1
300
Clean Architectureの輪読会やってみた
yuriemori
0
460
開発未経験で入社してなんとかエンジニアとして自走できるようにやった(やってる)こと
yuriemori
0
550
Other Decks in Technology
See All in Technology
DDDにおける認可の扱いとKotlinにおける実装パターン / authorization-for-ddd-and-kotlin-implement-pattern
urmot
4
390
累計ダウンロード数1億8000万を超えるアプリケーションプラットフォームのレガシーシステム脱却とモダン化への道
kmitsuhashi
0
120
セキュリティ研修 Day1【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
160
Classmethod Odyssey 登壇資料
yamahiro
0
390
AIエージェントを現場に導入する目線とは
masahiro_nishimi
1
1.5k
開発生産性をむしろ向上させる セキュリティパートナーの作り方 / Dev Productivity Con 2024
flatt_security
0
390
シフトレフトで挑む セキュリティの生産性向上
sekido
PRO
0
270
コミュニティサービスに「あなたへ」フィードを リリースするまでの試行錯誤
takapy
1
150
エンジニアの生存戦略 〜クラウド潮流の経験から紐解く技術トレンドのメカニズムと乗りこなし方〜
shimy
9
1.9k
可視化プラットフォームGrafanaの基本と活用方法の全て
hamadakoji
0
230
たくさん本を読んだけど 1年後には綺麗サッパリ!を乗り越えて 学習の鬼になるぞ👹
yum3
0
160
サービスの持続的な成長と技術負債について
siva_official
PRO
10
4.4k
Featured
See All Featured
A Philosophy of Restraint
colly
200
16k
Fashionably flexible responsive web design (full day workshop)
malarkey
399
65k
What the flash - Photography Introduction
edds
65
11k
Build your cross-platform service in a week with App Engine
jlugia
227
17k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
29
2.5k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
23
1.9k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
228
16k
Facilitating Awesome Meetings
lara
46
5.8k
Six Lessons from altMBA
skipperchong
24
3.2k
How GitHub Uses GitHub to Build GitHub
holman
471
290k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
129
32k
The Invisible Customer
myddelton
117
13k
Transcript
全てのエンジニアに伝えたい DevSecOpsのお話(入門) yuriemori 2023/12/23
Agenda 1. 自己紹介 2. Why DevSecOps Now? 3. ソフトウェアのライフサイクルの中でのDevSecOpsの実践 4.
まとめ
Yurie Mori(森 友梨映) Agile Specialist お仕事 AgileとDevOpsの実践の支援
DevOpsソリューション( Azure DevOps/GitHub )の導入・構築 技術スタック Azure DevOps, GitHub, Azure, .Net, C# Please follow me
Why DevSecOps Now? DevOps • Dev(開発)とOps(運用)がコラボレーションによる 無駄のない(Lean)ソフトウェア開発 • 継続的に顧客に価値を届けるための人、プロセ ス、テクノロジーの集合
DevSecOps • DevOpsの取り組みにおいてセキュリティをどの ように担保するか • DevOpsの実践はソフトウェア開発、デリバリー を高速化するがその中でどのようにセキュリ ティを担保するかが重要になってくる Security/Complianceの担保 +
Maintenance Release Test Build ソフトウェアのライフサイクルの中でのDevSecOpsの 実践(1/3) Plan コラボレーション/ 開発環境の整備 開発
継続的 インテグレーション(CI) ユーザーフィードバック の収集・改善 ソースコード 管理計画 テスト 自動化 継続的 デリバリー(CD) パフォーマンス監視と最 適化 サポート提供/ トラブルシューティング コラボレーション/開発環 境は最小特権の原則に基 づいてアクセス管理がさ れているか シークレット情報をべた 書きしてないか? セキュリティアップデー トはちゃんとしてるか 静的コード解析でソース の中のセキュリティ的な 脆弱性はチェックしてる か? ペネトレーションテスト を定期的に実施している か インシデント発生時のワークフ ローは定義されているか Dev Ops
ソフトウェアのライフサイクルの中での DevSecOpsの実践(2/3) コラボレーション/開発環境は最小特権の原則に基づいてアクセス管理 がされているか 開発チームのメンバーがシステムに対して必要最小限の権限のみを持つよ うにすることで、不正アクセスや権限の乱用を防ぐことができる シークレット情報をべた書きしてないか?
シークレット情報(パスワードやAPI Key)をソースコードの中にそのまま 置くのは漏洩のリスクがあるので、ソースの中には入れない方がよい 静的コード解析でソースの中のセキュリティ的な脆弱性はチェックし てるか? SAST(Static Application Security Testing): 実行前のコードを静的解析 して開発プロセスの早い段階でセキュリティリスクを特定して修正すること ができる ツールでいうとSonarQube, bandit等
ソフトウェアのライフサイクルの中での DevSecOpsの実践(3/3) ペネトレーションテストを定期的に実施しているか DAST(Dynamic Application Security Testing):実行中のアプリケーションに 対して外部から攻撃を模倣し、セキュリティの弱点を探す
例えばペネトレーションテストで検出される問題は、A: 70%, B: 20%, C: 10% に分類されて、A と B は開発行為の中で解消可能なものだとしたら、 90% はちゃんと開発やってれば防げる) セキュリティアップデートはちゃんとしてるか ソフトウェアや依存ライブラリのセキュリティパッチとアップデートは、新 たに発見された脆弱性に対処するために定期的に実施することが必要 インシデント発生時のワークフローは定義されているか なにかが起きないようにすることも大事だけれども、なにかが起きたときに 迅速に対応できるワークフローも同じぐらい大事。
まとめ セキュリティを開発ライフサイクルに統合しよう DevSecOpsは単なるSonarQubeとかGitHub Advanced Securityとかのツールセットではな く、セキュリティをソフトウェア開発のDNAに組み込む文化。 セキュリティは後から付け加えるものではなく、日々の開発ライフサイクルの中に
内在するもの。 攻めのセキュリティ 開発ライフサイクルの中で積極的にセキュリティを考慮して対処することで、修正 コストを削減し、信頼できるプロダクトを速やかにユーザーに提供することができ、 後戻りすることなく前進し続けることができる。 透明性の高いセキュリティ対策によってユーザーとの信頼を築く 明確で透明なセキュリティプロセスはユーザーにとって信頼の証となる