Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
全てのエンジニアに伝えたいDevSecOpsのお話(入門)
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
yuriemori
December 23, 2023
Technology
310
0
Share
全てのエンジニアに伝えたいDevSecOpsのお話(入門)
2023/12/23のコミュニティイベントでLTで登壇させていただいた際の資料です。
DevSecOpsの入門の入門的なお話です。
yuriemori
December 23, 2023
More Decks by yuriemori
See All by yuriemori
GitHub Advanced Security × Defender for Cloudで開発とSecOpsのサイロを超える: コードとクラウドをつなぐ、開発プラットフォームのセキュリティ
yuriemori
1
130
管理者向けGitHub Enterpriseの運用Tips紹介: 人にもAIにも優しいプラットフォームづくり
yuriemori
0
280
Agentic AI 時代の DevOps セキュリティ 2.0- GitHub Advanced Security × Defender for Cloud による Platform Protection
yuriemori
1
120
プロンプトエンジニアリングを超えて:自由と統制のあいだでつくる Platform × Context Engineering
yuriemori
1
900
生成AI時代のセキュアコーディングとDevSecOps
yuriemori
0
350
JuniorからSeniorまで: DevOpsエンジニアの成長ロードマップ
yuriemori
2
750
生成AI時代だからこそ必要なDevSecOps:概念から実践例まで
yuriemori
1
300
信頼できる開発プラットフォームをどう作るか?-Governance as Codeと継続的監視/フィードバックが導くPlatform Engineeringの進め方
yuriemori
2
760
Azure Deployment EnvironmentsによるPlatform Engineering
yuriemori
0
240
Other Decks in Technology
See All in Technology
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
cybozuinsideout
PRO
10
77k
"まず試す"ためのDatabricks Apps活用法 / Databricks Apps for Early Experiments and Validation
nttcom
1
200
推し活エージェント
yuntan_t
1
860
自己組織化を試される緑茶ハイを求めて、今日も全力であそんで学ぼう / Self-Organization and Shochu Green Tea
naitosatoshi
0
210
スクラムを支える内部品質の話
iij_pr
0
300
建設的な現実逃避のしかた / How to practice constructive escapism
pauli
4
280
Databricks Appsで実現する社内向けAIアプリ開発の効率化
r_miura
0
330
OCI技術資料 : 証明書サービス概要
ocise
1
7.2k
AIドリブン開発の実践知 ― AI-DLC Unicorn Gym実施から見えた可能性と課題
mixi_engineers
PRO
0
120
パワポ作るマンをMCP Apps化してみた
iwamot
PRO
0
310
Oracle Cloud Infrastructure(OCI):Onboarding Session(はじめてのOCI/Oracle Supportご利⽤ガイド)
oracle4engineer
PRO
2
17k
40代からのアウトプット ― 経験は価値ある学びに変わる / 20260404 Naoki Takahashi
shift_evolve
PRO
5
890
Featured
See All Featured
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
140
Side Projects
sachag
455
43k
End of SEO as We Know It (SMX Advanced Version)
ipullrank
3
4.1k
Tips & Tricks on How to Get Your First Job In Tech
honzajavorek
1
480
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
2
1.4k
Public Speaking Without Barfing On Your Shoes - THAT 2023
reverentgeek
1
360
Building a Modern Day E-commerce SEO Strategy
aleyda
45
9k
Context Engineering - Making Every Token Count
addyosmani
9
800
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
auna
0
110
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
greggifford
PRO
0
130
A Modern Web Designer's Workflow
chriscoyier
698
190k
Producing Creativity
orderedlist
PRO
348
40k
Transcript
全てのエンジニアに伝えたい DevSecOpsのお話(入門) yuriemori 2023/12/23
Agenda 1. 自己紹介 2. Why DevSecOps Now? 3. ソフトウェアのライフサイクルの中でのDevSecOpsの実践 4.
まとめ
Yurie Mori(森 友梨映) Agile Specialist お仕事 AgileとDevOpsの実践の支援
DevOpsソリューション( Azure DevOps/GitHub )の導入・構築 技術スタック Azure DevOps, GitHub, Azure, .Net, C# Please follow me
Why DevSecOps Now? DevOps • Dev(開発)とOps(運用)がコラボレーションによる 無駄のない(Lean)ソフトウェア開発 • 継続的に顧客に価値を届けるための人、プロセ ス、テクノロジーの集合
DevSecOps • DevOpsの取り組みにおいてセキュリティをどの ように担保するか • DevOpsの実践はソフトウェア開発、デリバリー を高速化するがその中でどのようにセキュリ ティを担保するかが重要になってくる Security/Complianceの担保 +
Maintenance Release Test Build ソフトウェアのライフサイクルの中でのDevSecOpsの 実践(1/3) Plan コラボレーション/ 開発環境の整備 開発
継続的 インテグレーション(CI) ユーザーフィードバック の収集・改善 ソースコード 管理計画 テスト 自動化 継続的 デリバリー(CD) パフォーマンス監視と最 適化 サポート提供/ トラブルシューティング コラボレーション/開発環 境は最小特権の原則に基 づいてアクセス管理がさ れているか シークレット情報をべた 書きしてないか? セキュリティアップデー トはちゃんとしてるか 静的コード解析でソース の中のセキュリティ的な 脆弱性はチェックしてる か? ペネトレーションテスト を定期的に実施している か インシデント発生時のワークフ ローは定義されているか Dev Ops
ソフトウェアのライフサイクルの中での DevSecOpsの実践(2/3) コラボレーション/開発環境は最小特権の原則に基づいてアクセス管理 がされているか 開発チームのメンバーがシステムに対して必要最小限の権限のみを持つよ うにすることで、不正アクセスや権限の乱用を防ぐことができる シークレット情報をべた書きしてないか?
シークレット情報(パスワードやAPI Key)をソースコードの中にそのまま 置くのは漏洩のリスクがあるので、ソースの中には入れない方がよい 静的コード解析でソースの中のセキュリティ的な脆弱性はチェックし てるか? SAST(Static Application Security Testing): 実行前のコードを静的解析 して開発プロセスの早い段階でセキュリティリスクを特定して修正すること ができる ツールでいうとSonarQube, bandit等
ソフトウェアのライフサイクルの中での DevSecOpsの実践(3/3) ペネトレーションテストを定期的に実施しているか DAST(Dynamic Application Security Testing):実行中のアプリケーションに 対して外部から攻撃を模倣し、セキュリティの弱点を探す
例えばペネトレーションテストで検出される問題は、A: 70%, B: 20%, C: 10% に分類されて、A と B は開発行為の中で解消可能なものだとしたら、 90% はちゃんと開発やってれば防げる) セキュリティアップデートはちゃんとしてるか ソフトウェアや依存ライブラリのセキュリティパッチとアップデートは、新 たに発見された脆弱性に対処するために定期的に実施することが必要 インシデント発生時のワークフローは定義されているか なにかが起きないようにすることも大事だけれども、なにかが起きたときに 迅速に対応できるワークフローも同じぐらい大事。
まとめ セキュリティを開発ライフサイクルに統合しよう DevSecOpsは単なるSonarQubeとかGitHub Advanced Securityとかのツールセットではな く、セキュリティをソフトウェア開発のDNAに組み込む文化。 セキュリティは後から付け加えるものではなく、日々の開発ライフサイクルの中に
内在するもの。 攻めのセキュリティ 開発ライフサイクルの中で積極的にセキュリティを考慮して対処することで、修正 コストを削減し、信頼できるプロダクトを速やかにユーザーに提供することができ、 後戻りすることなく前進し続けることができる。 透明性の高いセキュリティ対策によってユーザーとの信頼を築く 明確で透明なセキュリティプロセスはユーザーにとって信頼の証となる
yuriemori
cybozuinsideout
nttcom
yuntan_t
naitosatoshi
iij_pr
pauli
.png){kind=avatar}
r_miura
ocise
mixi_engineers
iwamot
oracle4engineer
shift_evolve
techseoconnect
sachag
ipullrank
honzajavorek
sarafernandez
reverentgeek
aleyda
addyosmani
auna
greggifford
chriscoyier
orderedlist
