Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DevSecOps入門しました

auoie
July 18, 2024
0
150

 DevSecOps入門しました

2024/07/18 2024 Japan AWS Jr. Champions勉強会

auoie

July 18, 2024
Tweet

More Decks by auoie

See All by auoie
TransitGatewayをクロスアカウント・クロスリージョンで接続してみた
auoie
2
100
AWS3年目、TypeScript初心者がCDK を使いこなせるのか?第一歩で感じたハードルとメリット
auoie
1
1.9k

Featured

See All Featured
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
6
430
The Cult of Friendly URLs
andyhume
78
6k
Code Reviewing Like a Champion
maltzj
520
39k
Intergalactic Javascript Robots from Outer Space
tanoku
269
27k
VelocityConf: Rendering Performance Case Studies
addyosmani
325
24k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
506
140k
Producing Creativity
orderedlist
PRO
341
39k
A Tale of Four Properties
chriscoyier
156
23k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Making Projects Easy
brettharned
115
5.9k
Building Your Own Lightsaber
phodgson
103
6.1k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k

Transcript

  1. DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie

  2. ⾃⼰紹介 • Mayuko Ide/@mayuko_auoie • 株式会社サーバーワークス所属 • 2021/04〜 • 業務内容

    • SRE系 • AWS環境構築 • 運⽤

  3. ⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •

    CI/CDパイプライン

  4. ⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •

    CI/CDパイプライン ↑ここに静的解析を入れよう!!!

  5. ⾃⼰紹介 • 最近の業務 • AWS CDK(AWS Cloud Development Kit) •

    CI/CDパイプライン ↑ここに静的解析を入れよう!!! DevSecOps

  6. Agenda • DevOps • DevSecOps • 実装⽅法 • 実装例 •

    まとめ

  7. DevOps

  8. DevOps 「開発(Development)」 「運⽤(Operations)」 概要 メリット 開発からデプロイ・運⽤まで⼀つのチームで管理することで 俊敏性を⾼め、安定したサービスを提供できる 著作者: Kharnagy CC

    表⽰-継承 4.0 https://commons.wikimedia.org/w/index.php?curid=51215412

  9. DevOps • CI/CD • マイクロサービス • Infrastructure as Code •

    ⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティ ベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html

  10. DevOps • CI/CD • マイクロサービス • Infrastructure as Code •

    ⾃動化 • モニタリングとロギング • コミュニケーションとコラボレーション • セキュリティ ベストプラクティス https://aws.amazon.com/jp/devops/ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/welcome.html

  11. DevOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト

  12. DevSecOps

  13. DevSecOps 「開発(Development)」 「運⽤(Operations)」 「セキュリティ(Security)」 概要 メリット 開発プロセスの早い段階からセキュリティ取り⼊れ 脆弱性を早期に発⾒し、修正する

  14. DevOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト

  15. DevSecOps ローカル 開発 ソース コード ビルド テスト デプロイ CI/CDパイプライン セキュリティテスト

  16. DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進 ベストプラクティス

    https://aws.amazon.com/jp/what-is/devsecops/

  17. DevSecOps • シフトレフト • シフトライト • ⾃動セキュリティツールの使⽤ • セキュリティ意識の促進 ベストプラクティス

    ローカル 開発 ソース コード ビルド テスト デプロイ セキュリティへの取り組みを早い段階へ移す

  18. 実装⽅法

  19. 実装⽅法 ローカル 開発 ソース コード ビルド テスト デプロイ (Stg) デプロイ

    (Prd) CI/CDパイプライン IDEプラグイン Pre-Commit 静的解析(SAST) ソフトウェア構成解析(SCA) ライセンスチェック 動的解析(DAST)

  20. IDEプラグイン・Pre-Commit • IDEプラグイン • コードレビュー、改善⽅法の提案などを受けられる • AIの活⽤ • Amazon Q

    Developerなど • Pre-Commit • git commiの前に指定した処理を実⾏する • 処理は⾃分で指定 • 例えば、アクセスキーなどの機密情報が含まれていないかをチェック

  21. 静的解析・ソフトウェア構成解析・ライセンスチェック • 静的解析 • 後ほど… • ソフトウェア構成解析 • OSSに脆弱性がないかをチェックする •

    ライセンスチェック • ライセンスの使い⽅などに問題がないかをチェックする

  22. 動的解析(DAST) • 動的解析 • アプリケーションを動作させて解析を⾏う • 静的解析とあわせて使うことで検知内容を補完できる • OWASP ZAPが有名︖

  23. 実装例

  24. 静的解析(SAST) • ソース コードを静的にスキャンし脆弱性を検知する Amazon CodeGuru Security GitHub Code Scanning

  25. まとめ

  26. まとめ • ソフトウェアサプライチェーン全体で対応が必要 • パイプライン⾃体のセキュリティ対応も必要 • 導⼊するだけでなく脆弱性が検知されたときの対応検討が必要 • ガイドラインの作成 •

    開発者の環境の統⼀ • ワークショップもあります︕ • Security for Developers • https://catalog.workshops.aws/sec4devs/ja-JP

  27. ご清聴ありがとうございました

  28. DevSecOps⼊⾨しました 2024/07/18 2024 Japan AWS Jr. Champions勉強会 Mayuko Ide/@mayuko_auoie