Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

全てのエンジニアに伝えたいDevSecOpsのお話(入門)

Avatar for yuriemori yuriemori
December 23, 2023
Technology
0
280

 全てのエンジニアに伝えたいDevSecOpsのお話(入門)

2023/12/23のコミュニティイベントでLTで登壇させていただいた際の資料です。
DevSecOpsの入門の入門的なお話です。

Avatar for yuriemori

yuriemori

December 23, 2023
Tweet

More Decks by yuriemori

See All by yuriemori
生成AI時代のセキュアコーディングとDevSecOps
Avatar for yuriemori yuriemori
0
230
JuniorからSeniorまで: DevOpsエンジニアの成長ロードマップ
Avatar for yuriemori yuriemori
2
560
生成AI時代だからこそ必要なDevSecOps:概念から実践例まで
Avatar for yuriemori yuriemori
1
180
信頼できる開発プラットフォームをどう作るか?-Governance as Codeと継続的監視/フィードバックが導くPlatform Engineeringの進め方
Avatar for yuriemori yuriemori
1
610
Azure Deployment EnvironmentsによるPlatform Engineering
Avatar for yuriemori yuriemori
0
190
Microsoft Build 2025_DevOps関連セッションレポート
Avatar for yuriemori yuriemori
1
180
生成AI時代のセキュアCI/CDとソース管理
Avatar for yuriemori yuriemori
1
330
Azure PipelinesによるCI/CDとデータベースデプロイの実践
Avatar for yuriemori yuriemori
0
95
Source Code Management in the Era of GenAI-Evolution Of DevOps
Avatar for yuriemori yuriemori
0
57

Other Decks in Technology

See All in Technology
手動から自動へ、そしてその先へ
Avatar for Sammy(MoritaMasami) moritamasami
0
260
Playwright x GitHub Actionsで実現する「レビューしやすい」E2Eテストレポート
Avatar for kinosuke01 kinosuke01
0
180
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
11
390k
世界最速級 memcached 互換サーバー作った
Avatar for yasukata yasukata
0
270
Symfony AI in Action
Avatar for Christopher Hertel el_stoffel
2
390
21st ACRi Webinar - Univ of Tokyo Presentation Slide (Ayumi Ohno)
Avatar for Nao Sumikawa nao_sumikawa
0
120
Uncertainty in the LLM era - Science, more than scale
Avatar for Gael Varoquaux gaelvaroquaux
0
700
コミューンのデータ分析AIエージェント「Community Sage」の紹介
Avatar for Yusuke Fukasawa fufufukakaka
0
300
AWS Bedrock AgentCoreで作る 1on1支援AIエージェント 〜Memory × Evaluationsによる実践開発〜
Avatar for Yusuke Shimizu yusukeshimizu
4
270
小さな判断で育つ、大きな意思決定力 / 20251204 Takahiro Kinjo
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
490
freeeにおけるファンクションを超えた一気通貫でのAI活用
Avatar for jaxx2104 jaxx2104
3
1.4k
Oracle Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
0
160

Featured

See All Featured
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
135
9.7k
Docker and Python
Avatar for Tania Allard trallard
46
3.7k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
432
66k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.6k
BBQ
Avatar for Matthew Crist matthewcrist
89
9.9k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
246
12k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
58
6.1k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
9k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
8
1.3k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
527
40k

Transcript

  1. 全てのエンジニアに伝えたい DevSecOpsのお話(入門) yuriemori 2023/12/23

  2. Agenda 1. 自己紹介 2. Why DevSecOps Now? 3. ソフトウェアのライフサイクルの中でのDevSecOpsの実践 4.

    まとめ

  3. Yurie Mori(森 友梨映)  Agile Specialist  お仕事  AgileとDevOpsの実践の支援

     DevOpsソリューション( Azure DevOps/GitHub )の導入・構築  技術スタック  Azure DevOps, GitHub, Azure, .Net, C#  Please follow me

  4. Why DevSecOps Now? DevOps • Dev(開発)とOps(運用)がコラボレーションによる 無駄のない(Lean)ソフトウェア開発 • 継続的に顧客に価値を届けるための人、プロセ ス、テクノロジーの集合

    DevSecOps • DevOpsの取り組みにおいてセキュリティをどの ように担保するか • DevOpsの実践はソフトウェア開発、デリバリー を高速化するがその中でどのようにセキュリ ティを担保するかが重要になってくる Security/Complianceの担保 +

  5. Maintenance Release Test Build ソフトウェアのライフサイクルの中でのDevSecOpsの 実践(1/3) Plan コラボレーション/ 開発環境の整備 開発

    継続的 インテグレーション(CI) ユーザーフィードバック の収集・改善 ソースコード 管理計画 テスト 自動化 継続的 デリバリー(CD) パフォーマンス監視と最 適化 サポート提供/ トラブルシューティング コラボレーション/開発環 境は最小特権の原則に基 づいてアクセス管理がさ れているか シークレット情報をべた 書きしてないか? セキュリティアップデー トはちゃんとしてるか 静的コード解析でソース の中のセキュリティ的な 脆弱性はチェックしてる か? ペネトレーションテスト を定期的に実施している か インシデント発生時のワークフ ローは定義されているか Dev Ops

  6. ソフトウェアのライフサイクルの中での DevSecOpsの実践(2/3)  コラボレーション/開発環境は最小特権の原則に基づいてアクセス管理 がされているか  開発チームのメンバーがシステムに対して必要最小限の権限のみを持つよ うにすることで、不正アクセスや権限の乱用を防ぐことができる  シークレット情報をべた書きしてないか?

     シークレット情報(パスワードやAPI Key)をソースコードの中にそのまま 置くのは漏洩のリスクがあるので、ソースの中には入れない方がよい  静的コード解析でソースの中のセキュリティ的な脆弱性はチェックし てるか?  SAST(Static Application Security Testing): 実行前のコードを静的解析 して開発プロセスの早い段階でセキュリティリスクを特定して修正すること ができる  ツールでいうとSonarQube, bandit等

  7. ソフトウェアのライフサイクルの中での DevSecOpsの実践(3/3)  ペネトレーションテストを定期的に実施しているか  DAST(Dynamic Application Security Testing):実行中のアプリケーションに 対して外部から攻撃を模倣し、セキュリティの弱点を探す

     例えばペネトレーションテストで検出される問題は、A: 70%, B: 20%, C: 10% に分類されて、A と B は開発行為の中で解消可能なものだとしたら、 90% はちゃんと開発やってれば防げる)  セキュリティアップデートはちゃんとしてるか  ソフトウェアや依存ライブラリのセキュリティパッチとアップデートは、新 たに発見された脆弱性に対処するために定期的に実施することが必要  インシデント発生時のワークフローは定義されているか  なにかが起きないようにすることも大事だけれども、なにかが起きたときに 迅速に対応できるワークフローも同じぐらい大事。

  8. まとめ  セキュリティを開発ライフサイクルに統合しよう  DevSecOpsは単なるSonarQubeとかGitHub Advanced Securityとかのツールセットではな く、セキュリティをソフトウェア開発のDNAに組み込む文化。  セキュリティは後から付け加えるものではなく、日々の開発ライフサイクルの中に

    内在するもの。  攻めのセキュリティ  開発ライフサイクルの中で積極的にセキュリティを考慮して対処することで、修正 コストを削減し、信頼できるプロダクトを速やかにユーザーに提供することができ、 後戻りすることなく前進し続けることができる。  透明性の高いセキュリティ対策によってユーザーとの信頼を築く  明確で透明なセキュリティプロセスはユーザーにとって信頼の証となる