Upgrade to Pro — share decks privately, control downloads, hide ads and more …

全てのエンジニアに伝えたいDevSecOpsのお話(入門)

yuriemori
December 23, 2023
Technology
0
180

 全てのエンジニアに伝えたいDevSecOpsのお話(入門)

2023/12/23のコミュニティイベントでLTで登壇させていただいた際の資料です。
DevSecOpsの入門の入門的なお話です。

yuriemori

December 23, 2023
Tweet

More Decks by yuriemori

See All by yuriemori
DevOps Beyond Azure DevOps~Azureサービスで広がるDevOpsの可能性~
yuriemori
0
140
DevOpsに関するあるあるな誤解
yuriemori
0
110
GitHubで実現する開発ライフサイクルの効率化
yuriemori
1
130
Azure Pipelinesを使用したCICDベースラインアーキテクチャ実践
yuriemori
0
540
マルチテナントでのサービスコネクションを使用したAzure DevOps⇔Azure でのデプロイ実践
yuriemori
0
310
Azure DevOpsを活用したマルチチーム開発: ソース管理とセキュアプラクティス
yuriemori
0
270
エンジニアのキャリア開発と自己研鑽について
yuriemori
0
440
忙しい人のためのClean Architecture
yuriemori
1
270
Clean Architecture輪読会チームのチーム開発環境チラ見せ
yuriemori
1
97

Other Decks in Technology

See All in Technology
GPTsで模擬問題生成して資格対策してみる
hsg_alf
2
130
LINEヤフーのフロントエンド組織・体制の紹介【24年12月】
lycorp_recruit_jp
0
520
LINE Developersプロダクト(LIFF/LINE Login)におけるフロントエンド開発
lycorptech_jp
PRO
0
110
Kubeshark で Kubernetes の Traffic を眺めてみよう/Let's Look at k8s Traffic with Kubeshark
kota2and3kan
3
370
KnowledgeBaseDocuments APIでベクトルインデックス管理を自動化する
iidaxs
1
170
継続的にアウトカムを生み出し ビジネスにつなげる、 戦略と運営に対するタイミーのQUEST(探求)
zigorou
0
370
watsonx.ai Dojo #5 ファインチューニングとInstructLAB
oniak3ibm
PRO
0
100
スタートアップで取り組んでいるAzureとMicrosoft 365のセキュリティ対策/How to Improve Azure and Microsoft 365 Security at Startup
yuj1osm
0
100
成果を出しながら成長する、アウトプット駆動のキャッチアップ術 / Output-driven catch-up techniques to grow while producing results
aiandrox
0
120
AWS re:Invent 2024 re:Cap CloudFront編
yoshimi0227
0
330
OpsJAWS32 re:Invent 2024 Ops系アップデートまとめ
takahirohori
0
200
私なりのAIのご紹介 [2024年版]
qt_luigi
1
110

Featured

See All Featured
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Art, The Web, and Tiny UX
lynnandtonic
298
20k
Typedesign – Prime Four
hannesfritz
40
2.4k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Building an army of robots
kneath
302
44k
YesSQL, Process and Tooling at Scale
rocio
169
14k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
We Have a Design System, Now What?
morganepeng
51
7.3k
Faster Mobile Websites
deanohume
305
30k
Git: the NoSQL Database
bkeepers
PRO
427
64k
The Cost Of JavaScript in 2023
addyosmani
45
6.9k

Transcript

  1. 全てのエンジニアに伝えたい DevSecOpsのお話(入門) yuriemori 2023/12/23

  2. Agenda 1. 自己紹介 2. Why DevSecOps Now? 3. ソフトウェアのライフサイクルの中でのDevSecOpsの実践 4.

    まとめ

  3. Yurie Mori(森 友梨映)  Agile Specialist  お仕事  AgileとDevOpsの実践の支援

     DevOpsソリューション( Azure DevOps/GitHub )の導入・構築  技術スタック  Azure DevOps, GitHub, Azure, .Net, C#  Please follow me

  4. Why DevSecOps Now? DevOps • Dev(開発)とOps(運用)がコラボレーションによる 無駄のない(Lean)ソフトウェア開発 • 継続的に顧客に価値を届けるための人、プロセ ス、テクノロジーの集合

    DevSecOps • DevOpsの取り組みにおいてセキュリティをどの ように担保するか • DevOpsの実践はソフトウェア開発、デリバリー を高速化するがその中でどのようにセキュリ ティを担保するかが重要になってくる Security/Complianceの担保 +

  5. Maintenance Release Test Build ソフトウェアのライフサイクルの中でのDevSecOpsの 実践(1/3) Plan コラボレーション/ 開発環境の整備 開発

    継続的 インテグレーション(CI) ユーザーフィードバック の収集・改善 ソースコード 管理計画 テスト 自動化 継続的 デリバリー(CD) パフォーマンス監視と最 適化 サポート提供/ トラブルシューティング コラボレーション/開発環 境は最小特権の原則に基 づいてアクセス管理がさ れているか シークレット情報をべた 書きしてないか? セキュリティアップデー トはちゃんとしてるか 静的コード解析でソース の中のセキュリティ的な 脆弱性はチェックしてる か? ペネトレーションテスト を定期的に実施している か インシデント発生時のワークフ ローは定義されているか Dev Ops

  6. ソフトウェアのライフサイクルの中での DevSecOpsの実践(2/3)  コラボレーション/開発環境は最小特権の原則に基づいてアクセス管理 がされているか  開発チームのメンバーがシステムに対して必要最小限の権限のみを持つよ うにすることで、不正アクセスや権限の乱用を防ぐことができる  シークレット情報をべた書きしてないか?

     シークレット情報(パスワードやAPI Key)をソースコードの中にそのまま 置くのは漏洩のリスクがあるので、ソースの中には入れない方がよい  静的コード解析でソースの中のセキュリティ的な脆弱性はチェックし てるか?  SAST(Static Application Security Testing): 実行前のコードを静的解析 して開発プロセスの早い段階でセキュリティリスクを特定して修正すること ができる  ツールでいうとSonarQube, bandit等

  7. ソフトウェアのライフサイクルの中での DevSecOpsの実践(3/3)  ペネトレーションテストを定期的に実施しているか  DAST(Dynamic Application Security Testing):実行中のアプリケーションに 対して外部から攻撃を模倣し、セキュリティの弱点を探す

     例えばペネトレーションテストで検出される問題は、A: 70%, B: 20%, C: 10% に分類されて、A と B は開発行為の中で解消可能なものだとしたら、 90% はちゃんと開発やってれば防げる)  セキュリティアップデートはちゃんとしてるか  ソフトウェアや依存ライブラリのセキュリティパッチとアップデートは、新 たに発見された脆弱性に対処するために定期的に実施することが必要  インシデント発生時のワークフローは定義されているか  なにかが起きないようにすることも大事だけれども、なにかが起きたときに 迅速に対応できるワークフローも同じぐらい大事。

  8. まとめ  セキュリティを開発ライフサイクルに統合しよう  DevSecOpsは単なるSonarQubeとかGitHub Advanced Securityとかのツールセットではな く、セキュリティをソフトウェア開発のDNAに組み込む文化。  セキュリティは後から付け加えるものではなく、日々の開発ライフサイクルの中に

    内在するもの。  攻めのセキュリティ  開発ライフサイクルの中で積極的にセキュリティを考慮して対処することで、修正 コストを削減し、信頼できるプロダクトを速やかにユーザーに提供することができ、 後戻りすることなく前進し続けることができる。  透明性の高いセキュリティ対策によってユーザーとの信頼を築く  明確で透明なセキュリティプロセスはユーザーにとって信頼の証となる