輕輕鬆鬆體驗 DevSecOps @ iThome Cloud Summit 2023

Transcript

1. 輕輕鬆鬆體驗 DevSecOps 2023.07.19 @ CLOUD SUMMIT 2023 臺灣雲端大會 特別感謝

2. 陳正瑋 GitLab Hero Mouson (墨嗓) GitLab Hero Toshitaka Ito Staff

   Solutions Architect at GitLab 特別感謝

3. 你聽過 DevSecOps 嗎？

4. 多半都聽過，因為一堆人都在倡議 DevSecOps 截圖來源：Google 搜尋 DevSecOps

5. 你覺得 DevSecOps 是？ - DevOps + Sec - Dev +

   Sec + Ops - Or？

6. Plan Code Build Deploy Monitor Analyze Operate 讓我們先看一下 DevOps

7. DevOps 打通了「交付價值」的整條 工作流程！

8. 那麼 DevSecOps 帶來了？

9. 資安問題，每天都在發生 截圖來源：https://www.ithome.com.tw/CIDaily

10. 截圖來源：https://www.cvedetails.com/vulnerability-list/year-2023/vulnerabilities.html

11. 截圖來源：https://hub.docker.com/layers/library/node/14.21.3-bullseye/images/sha256-9b60cdcee9c6a27227689ebf4e7dd422ff195e978ffec360db5c0b3a05e20452

12. 截圖來源：https://www.facebook.com/ithomeonline/posts/pfbid02EgAHmdduZS4fd4JDizPhw8Af5wcnWUwZD3xChRYHWLwU3HZm9L7KWcwjqXvFqF76l

13. 資安問題，每天都在發生 - 經典中的經典案例 Log4j - Open Source - Application -

    Package - Library - ……more

14. 那麼 Security 從哪裡來？ 也許 DevSecOps 是一個答案

15. DevOps -> DevSecOps？

16. 圖片來源：https://about.gitlab.com/platform/?stage=plan

17. Secure Plan Code Build Deploy Monitor Analyze Operate 從你最容易著手的地方開始！

18. Deploy & Operate Plan & Create Integrate & Verify Monitor

    & Improve 邁向DevSecOps的第一步 只要在合併feature branch之前進行安全掃描， 可以認為是DevSecOps的第一步 • 開發團隊主動進行的 AppSec • 早期的安全性測試（ shift-left） • 自然地促進修復漏洞的整個週期 ◦ 檢測漏洞、評估漏洞、修復原始碼、掃描原始碼、 解决問題 圖片來源：GitLab 原廠 SA - Toshi @ 2023.06.07 GitLab 午餐交流分享會 「如何開始導入 DevSecOps 而不是 DevOps + Sec?」

19. 有哪些「掃描 / 檢查」是有機會立即實施的呢？ - SAST (Static Application Security Testing) -

    Dependency Scanning - Secret Detection - License Compliance - Container Scanning - DAST (Dynamic Application Security Testing) - Web API Fuzz - more…

20. 今天就讓我們輕輕鬆鬆的 體驗 DevSecOps 的第一步吧！

21. 進入 Lab 內容

22. Lab 環境說明

23. Lab 環境 GitLab.com Training Environment My Test Group (User1) My

    Test Group (User2) My Test Group (User3) My Test Group (User4) Group Runner Group Runner User1 User2 User3 User4

24. Lab Sample Project https:/ /gitlab.com/gitlab-learn-l abs/sample-projects/quick-devs ecops-hands-on-workshop

25. 結語

26. Deploy & Operate Plan & Create Integrate & Verify Monitor

    & Improve 邁向DevSecOps的第一步 圖片來源：GitLab 原廠 SA - Toshi @ 2023.06.07 GitLab 午餐交流分享會 「如何開始導入 DevSecOps 而不是 DevOps + Sec?」

27. Secure Plan Code Build Deploy Monitor Analyze Operate DevSecOps

28. 圖片來源：https://github.com/rung/threat-matrix-cicd 也別忘了關心 Pipeline 本身的安全性

29. DevSecOps != Sec + DevOps

30. 圖片來源：https://about.gitlab.com/platform/?stage=plan

31. DevSecOps 不只是將 Sec 工具放進 Lifecycle 之中 但可以是一個好的開始！

32. 你需要建立 DevSecOps Mindset 長期來說，這才是關鍵

33. 實踐 DevSecOps 的常見挑戰

34. 尚未實踐 CI / CD 那你連今天介紹的第一步都⋯⋯

35. Sec 那很貴吧？ 回到 風險、成本、品質之間的關係去評估與思考

36. 不知道如何掃描與修復漏洞？ 付費產品很成熟、開源工具的生態系也持續成長中

37. 繁複過多的工具整合？ 想一想為何 Platform engineering 會興起

38. 不知道如何落地 DevSecOps？ 萬事起頭難，但你不起頭，那永遠都難