Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DevSecOps入門しました
Search
auoie
July 18, 2024
0
170
DevSecOps入門しました
2024/07/18 2024 Japan AWS Jr. Champions勉強会
auoie
July 18, 2024
Tweet
Share
More Decks by auoie
See All by auoie
AWSセキュリティに入門した話
auoie
3
140
会社と若手を強くするコミュニティの活用法
auoie
1
160
TransitGatewayをクロスアカウント・クロスリージョンで接続してみた
auoie
2
160
AWS3年目、TypeScript初心者がCDK を使いこなせるのか?第一歩で感じたハードルとメリット
auoie
1
2k
Featured
See All Featured
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
2.9k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.4k
Producing Creativity
orderedlist
PRO
346
40k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
45
7.5k
StorybookのUI Testing Handbookを読んだ
zakiyama
30
5.9k
The Power of CSS Pseudo Elements
geoffreycrofte
77
5.9k
Building Adaptive Systems
keathley
43
2.7k
Faster Mobile Websites
deanohume
307
31k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
KATA
mclloyd
30
14k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
138
34k
Scaling GitHub
holman
460
140k
Transcript
DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie
⾃⼰紹介 • Mayuko Ide/@mayuko_auoie • 株式会社サーバーワークス所属 • 2021/04〜 • 業務内容
• SRE系 • AWS環境構築 • 運⽤
⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •
CI/CDパイプライン
⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •
CI/CDパイプライン ↑ここに静的解析を入れよう!!!
⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •
CI/CDパイプライン ↑ここに静的解析を入れよう!!! DevSecOps
Agenda • DevOps • DevSecOps • 実装⽅法 • 実装例 •
まとめ
DevOps
DevOps 「開発(Development)」 「運⽤(Operations)」 概要 メリット 開発からデプロイ・運⽤まで⼀つのチームで管理することで 俊敏性を⾼め、安定したサービスを提供できる 著作者: Kharnagy CC
表⽰-継承 4.0 https://commons.wikimedia.org/w/index.php?curid=51215412
DevOps • CI/CD • マイクロサービス • Infrastructure as Code •
⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティ ベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html
DevOps • CI/CD • マイクロサービス • Infrastructure as Code •
⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティ ベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html
DevOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト
DevSecOps
DevSecOps 「開発(Development)」 「運⽤(Operations)」 「セキュリティ(Security)」 概要 メリット 開発プロセスの早い段階からセキュリティ取り⼊れ 脆弱性を早期に発⾒し、修正する
DevOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト
DevSecOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト
DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進 ベストプラクティス
https://aws.amazon.com/jp/what-is/devsecops/
DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進 ベストプラクティス
ローカル 開発 ソース コード ビルド テスト デプロイ セキュリティへの取り組みを早い段階へ移す
実装⽅法
実装⽅法 ローカル 開発 ソース コード ビルド テスト デプロイ (Stg) デプロイ
(Prd) CI/CDパイプライン IDEプラグイン Pre-Commit 静的解析(SAST) ソフトウェア構成解析(SCA) ライセンスチェック 動的解析(DAST)
IDEプラグイン・Pre-Commit • IDEプラグイン • コードレビュー、改善⽅法の提案などを受けられる • AIの活⽤ • Amazon Q
Developerなど • Pre-Commit • git commiの前に指定した処理を実⾏する • 処理は⾃分で指定 • 例えば、アクセスキーなどの機密情報が含まれていないかをチェック
静的解析・ソフトウェア構成解析・ライセンスチェック • 静的解析 • 後ほど… • ソフトウェア構成解析 • OSSに脆弱性がないかをチェックする •
ライセンスチェック • ライセンスの使い⽅などに問題がないかをチェックする
動的解析(DAST) • 動的解析 • アプリケーションを動作させて解析を⾏う • 静的解析とあわせて使うことで検知内容を補完できる • OWASP ZAPが有名︖
実装例
静的解析(SAST) • ソース コードを静的にスキャンし脆弱性を検知する Amazon CodeGuru Security GitHub Code Scanning
まとめ
まとめ • ソフトウェアサプライチェーン全体で対応が必要 • パイプライン⾃体のセキュリティ対応も必要 • 導⼊するだけでなく脆弱性が検知されたときの対応検討が必要 • ガイドラインの作成 •
開発者の環境の統⼀ • ワークショップもあります︕ • Security for Developers • https://catalog.workshops.aws/sec4devs/ja-JP
ご清聴ありがとうございました
DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie
auoie
eileencodes
marktimemedia
orderedlist
zakiyama
geoffreycrofte
keathley
deanohume
smashingmag
mclloyd
holman
