Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
アプリケーション開発者目線で語る、明日から始めるDevSecOps
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
ihcomega56
July 21, 2022
Technology
260
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
アプリケーション開発者目線で語る、明日から始めるDevSecOps
ihcomega56
July 21, 2022
More Decks by ihcomega56
See All by ihcomega56
JEP 455: Primitive Types in Patterns, instanceof, and switch (Preview)
ihcomega56
1
170
シリコンバレーのチームで経験したふりかえり - 共通点とギャップ / retrospectives in silicon valley
ihcomega56
5
2k
「サプライチェーン攻撃」に立ち向かう!SBOMを使った脆弱性管理がもたらす品質とスピード向上
ihcomega56
2
2.7k
パターンマッチングを学んで新しいJavaの世界へ!Java 18までの目玉機能をおさらいしよう / Java 18 pattern matching
ihcomega56
3
1.5k
SCAとDockerを触ってみよう!DecSecOps入門ワークショップ / SCA and Docker workshop
ihcomega56
1
330
JFrogのDevOps Platformづくりを支えるオブザーバビリティ / JFrog Observability
ihcomega56
0
560
SBOMでソフトウェアを守れ!10年後も自信を持ってリリースするために今始めるDevSecOps / DevSecOps with SBOM for yourself 10 years from now
ihcomega56
1
6.8k
Javaアプリケーションの アーティファクト管理と DevSecOps / Java artifacts management and DevSecOps
ihcomega56
0
2.8k
元現場エンジニアが思う「もっとこうしておけばよかった」から学ぶDevSecOps / DevSecOps Best Practices learned from my experiences
ihcomega56
1
580
Other Decks in Technology
See All in Technology
ゼロをイチにする仕事が終わったあと
smasato
0
310
CSに"SLO"は要らない、経営層に"99.9%"は伝わらない - SREを全社に"翻訳"する3原則
cscengineer
PRO
0
3.5k
生成AI活用によるODC欠陥分析の分類高速化の実践と導入効果 / 20260703 Suguru Ishii
shift_evolve
PRO
2
100
Control Planeで育てるBtoB SaaSの認証基盤 - SRE NEXT 2026
pokohide
1
1.6k
Keeping applications secure by evolving OAuth 2.0 and OpenID Connect
ahus1
PRO
1
150
“ID沼入口” - 基本とセキュリティから始める、考え続けるためのID管理技術勉強会 告知&イントロ
ritou
0
440
環境凍結という Toil を倒す -セルフサービス型 Ephemeral テスト環境の 設計と実践
shirouz
1
1.5k
Foxgloveについて 実際にExtensionを開発して公開するまでの話 / About Foxglove: The Story of Developing and Releasing an Extension
ry0_ka
0
180
アカウントが増えてからでは遅い? ~ マルチアカウント統制の勘所 ~
kenichinakamura
0
190
なぜ人は自分のプロジェクトを 「なんちゃってアジャイル」と 自嘲するのか
kozotaira
0
260
キャリアの中で本を作る / Making a Book During Your Career
ak1210
0
120
Amazon EVS で VCF 9.0 / 9.1 のサポート開始まとめ
mtoyoda
0
280
Featured
See All Featured
Principles of Awesome APIs and How to Build Them.
keavy
128
18k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
First, design no harm
axbom
PRO
2
1.2k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.5k
Java REST API Framework Comparison - PWX 2021
mraible
34
9.4k
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
260
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.5k
Google's AI Overviews - The New Search
badams
0
1.1k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
6k
AI Search: Where Are We & What Can We Do About It?
aleyda
0
7.7k
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.3k
Test your architecture with Archunit
thirion
1
2.3k
Transcript
ΞϓϦέʔγϣϯ ։ൃऀઢͰޠΔɺ ໌͔Β࢝ΊΔ%FW4FD0QT
1 Α͜ͳͰ͢ "ZBOB:PLPUB • +'SPHͷσϕϩούʔΞυϘέΠτ • લ৬·ͰओʹόοΫΤϯυͷ։ൃ ʢ4*FS ࠂձࣾ ূ݊ελʔτΞοϓʣ
• ՖՐݟ͍ͨͳ͊ 5XJUUFS !JIDPNFHB
%FW4FD0QTͱ %FWͱ0QTʹՃ͑ͯ4FDVSJUZڠۀ͠ ܧଓతͳιϑτΣΞσϦόϦʔΛ ࣮ݱ͢Δߟ͑ํɾऔΓΈ 2 2 ։ൃ ӡ༻ ηΩϡ ϦςΟ
%FW4FD0QTͱ 3 3
%FW4FD0QTʹؔ৺͕ߴ·Δཧ༝ 4 4 ग़యhttps://dzone.com/articles/10-tips-for-integrating-security-into-devops 100: 10 : 1 DEV OPS
SEC ߈ܸ͕૿Ճʹ͋Δʹ͔͔ΘΒͣ
%FW4FD0QTʹؔ৺͕ߴ·Δཧ༝ 5 5 ग़యhttps://news.mynavi.jp/techplus/article/20220208-2267778/ ຊاۀͷ ͕ ηΩϡϦςΟਓࡐͷෆΛײ͍ͯ͡Δ ˞ถࠃɺ߽भ 90%
%FW4FD0QTʹؔ৺͕ߴ·Δཧ༝ 6 6 ग़యhttps://news.mynavi.jp/techplus/article/20220208-2267778/ ॆ͍ͯ͠Δͱײ͡Δཧ༝ͷҐ ͍ͣΕશମͷఔ 🇯🇵 ηΩϡϦςΟۀ͕ඪ४Խ͞Ε͓ͯΓɺׂ୲͕ ໌֬Խ͞Ε͍ͯΔͨΊ 🇺🇸🇦🇺
ηΩϡϦςΟۀ͕γεςϜʹΑΓࣗಈԽɾলྗԽ ͞Ε͍ͯΔͨΊ
ޮԽɾվળ͢Δ͔͠ͳ͍ʂ 7
%FW4FD0QTΛࢧ͑Δப 8 8 ৫ ϓϩηε ٕज़ Ψόφϯε ग़యhttps://dodcio.defense.gov/Portals/0/Documents/DoD%20Enterprise%20DevSecOps%20Reference%20Design%20v1.0_Public%20Release.pdf %FW0QTͱ ݁ߏࣅͯΔ
%FW0QTͱҧ͏ͱ͜Ζʁ 9
πʔϧ 10
͡Ί͍͢ͱ͜Ζ͔Β • ཏతʹରࡦ͢Δͷ͕ཧ͕ͩɺπʔϧϓϥΫςΟε ଟ͘औΓΈ͍͢ͱ͜Ζ͔Β࢝ΊΔ • ੩తΞϓϦέʔγϣϯηΩϡϦςΟςετ 4"45 • ಈతΞϓϦέʔγϣϯηΩϡϦςΟςετ %"45
• ιϑτΣΞίϯϙδγϣϯղੳ 4$" ͳͲ 11
12 12 ίʔυ Ϗϧυ ςετ ϦϦʔε σϓϩΠ औΓΈͷϙΠϯτ ˞ਤҰྫͰ͢ 4$"
4"45 %"45 4$" গͳ͍ਓखͰͳΔ͍ͬͯ͘͘ʂ • ࣗಈԽ͠ɺ$*$%ύΠϓϥΠϯʹΈࠐΉ • 4-%$ͷૣ͍ஈ֊Ͱؾ͚ΔΑ͏ʹ͢ΔʮγϑτϨϑτʯ • ϦϦʔεલʹ·ͱΊ࣮ͯࢪɺҰఆظؒ͝ͱͷ࣮ࢪͷΈͱ͍ͬͨ Ξϓϩʔν͕େ͖͘ͳΓ͗ͯ͢ରॲ͕େมʹͳΔڪΕ
৫ɾΧϧνϟʔ • ৫͕%FW4FD0QTʹཧղΛࣔ͠ɺશମͰऔΓΉ • ίϛϡχέʔγϣϯɾίϥϘϨʔγϣϯΛ׆ൃʹ͢Δ • ޭࣦഊݟ͠ɺϑΟʔυόοΫΛड͚ͳ͕Βվળ Λ܁Γฦ͢ 13
ͦ͏ݴͬͯɾɾɾ 14
͍͑ɺ·ͣ ࣗࣗΛݟͯ͠Έ·ͤΜ͔ʁ 15
͔ͭͯͷࢲ͕͍ؕͬͯͨצҧ͍ ʮྑ͍ͷΛ࡞Γ͍ͨʂʯ ؔ৺ͷ΄ͱΜͲ͕Ϗδωεɺ༷ɺ࣮ʹ͍͍ͯͨ • ΞϓϦέʔγϣϯͷ࡞Γ͜Έ͕ͦ͜େࣄͩͱࢥ͍ͬͯͨ • ηΩϡϦςΟηΩϡϦςΟνʔϜͷؔ৺͕ബ͔ͬͨ • ηΩϡϦςΟ͕ͱʹ͔͘ාͯۤ͘खͩͬͨ •
ηΩϡϦςΟΛ։ൃͷϥΠϑαΠΫϧʹΈࠐΉͱ͍͏ ҙ͕ࣝͳ͔ͬͨ 16
17 Ϣʔβʔʹಧ͘·Ͱ͕ʮྑ͍ͷΛ࡞Δʯ ηΩϡϦςΟνʔϜҰॹʹͷͮ͘ΓΛ͢Δؒ ʮηΩϡϦςΟʯൣғ͕͗͢Δʂ·ͣղ͔Β ηΩϡϦςΟνΣοΫͨΓલʹ܁Γฦ͠ߦ͏ ͜͏ߟ͑Α͏
͓ޓ͍ͷྖҬͷ ৺ߏ͑औΓΈɺ վળϙΠϯτ͋Γ·ͤΜ͔ʁ 18
ରʹ ΠϚΠνڠྗ͕ಘΒΕͳ͍ͳͱ ײ͡Δ߹ɺ Կ͔צҧ͍ڪΕ͕ ͋Δͷ͔͠Ε·ͤΜ 19
৫ɾΧϧνϟʔͷҰา • ·͓ͣޓ͍͕าΈدΓɺཧղ͠Α͏ͱ͢Δ • ڥքͷ͜͏ଆʹؙ͛͠ͳ͍ • શһ͕શ෦Λཧղ͢Δඞཁͳ͘ɺগͣͭ͠୲ྖҬΛ ͍͚͛ͯྑ͍ 20
21 5IBOLZPV
ࢀߟ • ʮJFrog Xray Security and Compliance of the Open
Source Software Dependencies You Rely onʯ https://jfrog.com/whitepaper/jfrog-xray-universal-component-analysis/ • ʮDevSecOpsͱʁʯhttps://jfrog.com/ja/devops-tools/what-is-devsecops/ • DZone 2017-04-24ʮ10 Tips for Integrating Security Into DevOpsʯhttps://dzone.com/articles/10- tips-for-integrating-security-into-devops • TECH+ 2022-02-08 ʮຊاۀͷ9ׂ͕ʰηΩϡϦςΟਓࡐෆʹ՝ʱ-ถ߽1ׂఔʯ https://news.mynavi.jp/techplus/article/20220208-2267778/ • Department of Defense (DoD) Chief Information OfficerʮDoD Enterprise DevSecOps Reference Designʯ https://dodcio.defense.gov/Portals/0/Documents/DoD%20Enterprise%20DevSecOps%20Reference %20Design%20v1.0_Public%20Release.pdf 22