Upgrade to Pro — share decks privately, control downloads, hide ads and more …

アプリケーション開発者目線で語る、明日から始めるDevSecOps

ihcomega56
July 21, 2022
Technology
0
130

 アプリケーション開発者目線で語る、明日から始めるDevSecOps

ihcomega56

July 21, 2022
Tweet

More Decks by ihcomega56

See All by ihcomega56
JEP 455: Primitive Types in Patterns, instanceof, and switch (Preview)
ihcomega56
0
56
シリコンバレーのチームで経験したふりかえり - 共通点とギャップ / retrospectives in silicon valley
ihcomega56
5
1.8k
「サプライチェーン攻撃」に立ち向かう!SBOMを使った脆弱性管理がもたらす品質とスピード向上
ihcomega56
2
2.2k
パターンマッチングを学んで新しいJavaの世界へ!Java 18までの目玉機能をおさらいしよう / Java 18 pattern matching
ihcomega56
3
1.3k
SCAとDockerを触ってみよう!DecSecOps入門ワークショップ / SCA and Docker workshop
ihcomega56
1
230
JFrogのDevOps Platformづくりを支えるオブザーバビリティ / JFrog Observability
ihcomega56
0
430
SBOMでソフトウェアを守れ!10年後も自信を持ってリリースするために今始めるDevSecOps / DevSecOps with SBOM for yourself 10 years from now
ihcomega56
1
5.8k
Javaアプリケーションの アーティファクト管理と DevSecOps / Java artifacts management and DevSecOps
ihcomega56
0
2.4k
元現場エンジニアが思う「もっとこうしておけばよかった」から学ぶDevSecOps / DevSecOps Best Practices learned from my experiences
ihcomega56
1
480

Other Decks in Technology

See All in Technology
組織成長を加速させるオンボーディングの取り組み
sudoakiy
2
180
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
Amplify Gen2 Deep Dive / バックエンドの型をいかにしてフロントエンドへ伝えるか #TSKaigi #TSKaigiKansai #AWSAmplifyJP
tacck
PRO
0
390
個人でもIAM Identity Centerを使おう!(アクセス管理編)
ryder472
4
220
TypeScriptの次なる大進化なるか!? 条件型を返り値とする関数の型推論
uhyo
2
1.7k
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
開発生産性を上げながらビジネスも30倍成長させてきたチームの姿
kamina_zzz
2
1.7k
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
13k
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
170
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
160
AGIについてChatGPTに聞いてみた
blueb
0
130
[CV勉強会@関東 ECCV2024 読み会] オンラインマッピング x トラッキング MapTracker: Tracking with Strided Memory Fusion for Consistent Vector HD Mapping (Chen+, ECCV24)
abemii
0
220

Featured

See All Featured
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
Gamification - CAS2011
davidbonilla
80
5k
Side Projects
sachag
452
42k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
Music & Morning Musume
bryan
46
6.2k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
506
140k
Unsuck your backbone
ammeep
668
57k
A designer walks into a library…
pauljervisheath
204
24k
Designing for humans not robots
tammielis
250
25k

Transcript

  1. ΞϓϦέʔγϣϯ ։ൃऀ໨ઢͰޠΔɺ ໌೔͔Β࢝ΊΔ%FW4FD0QT

  2. 1 Α͜ͳͰ͢ "ZBOB:PLPUB • +'SPHͷσϕϩούʔΞυϘέΠτ • લ৬·Ͱ͸ओʹόοΫΤϯυͷ։ൃ ʢ4*FS ޿ࠂձࣾ ূ݊ελʔτΞοϓʣ

    • ՖՐݟ͍ͨͳ͊ 5XJUUFS !JIDPNFHB

  3. %FW4FD0QTͱ͸ %FWͱ0QTʹՃ͑ͯ4FDVSJUZ΋ڠۀ͠ ܧଓతͳιϑτ΢ΣΞσϦόϦʔΛ ࣮ݱ͢Δߟ͑ํɾऔΓ૊Έ 2 2 ։ൃ ӡ༻ ηΩϡ ϦςΟ

  4. %FW4FD0QTͱ͸ 3 3

  5. %FW4FD0QTʹؔ৺͕ߴ·Δཧ༝ 4 4 ग़యhttps://dzone.com/articles/10-tips-for-integrating-security-into-devops 100: 10 : 1 DEV OPS

    SEC ߈ܸ͕૿Ճ܏޲ʹ͋Δʹ΋͔͔ΘΒͣ

  6. %FW4FD0QTʹؔ৺͕ߴ·Δཧ༝ 5 5 ग़యhttps://news.mynavi.jp/techplus/article/20220208-2267778/ ೔ຊاۀͷ ͕ ηΩϡϦςΟਓࡐͷෆ଍Λײ͍ͯ͡Δ ˞ถࠃɺ߽भ 90%

  7. %FW4FD0QTʹؔ৺͕ߴ·Δཧ༝ 6 6 ग़యhttps://news.mynavi.jp/techplus/article/20220208-2267778/ ॆ଍͍ͯ͠Δͱײ͡Δཧ༝ͷҐ ͍ͣΕ΋શମͷఔ౓ 🇯🇵‍ ηΩϡϦςΟۀ຿͕ඪ४Խ͞Ε͓ͯΓɺ໾ׂ෼୲͕ ໌֬Խ͞Ε͍ͯΔͨΊ 🇺🇸🇦🇺‍‍

    ηΩϡϦςΟۀ຿͕γεςϜ౳ʹΑΓࣗಈԽɾলྗԽ ͞Ε͍ͯΔͨΊ

  8. ޮ཰Խɾվળ͢Δ͔͠ͳ͍ʂ 7

  9. %FW4FD0QTΛࢧ͑Δப 8 8 ૊৫ ϓϩηε ٕज़ Ψόφϯε ग़యhttps://dodcio.defense.gov/Portals/0/Documents/DoD%20Enterprise%20DevSecOps%20Reference%20Design%20v1.0_Public%20Release.pdf %FW0QTͱ ݁ߏࣅͯΔ

  10. %FW0QTͱҧ͏ͱ͜Ζ͸ʁ 9

  11. πʔϧ 10

  12. ͸͡Ί΍͍͢ͱ͜Ζ͔Β • ໢ཏతʹରࡦ͢Δͷ͕ཧ૝͕ͩɺπʔϧ΋ϓϥΫςΟε ΋ଟ͘औΓ૊Έ΍͍͢ͱ͜Ζ͔Β࢝ΊΔ • ੩తΞϓϦέʔγϣϯηΩϡϦςΟςετ 4"45 • ಈతΞϓϦέʔγϣϯηΩϡϦςΟςετ %"45

    • ιϑτ΢ΣΞίϯϙδγϣϯղੳ 4$" ͳͲ 11

  13. 12 12 ίʔυ Ϗϧυ ςετ ϦϦʔε σϓϩΠ औΓ૊ΈͷϙΠϯτ ˞ਤ͸ҰྫͰ͢ 4$"

    4"45 %"45 4$" গͳ͍ਓखͰ΋ͳΔ΂͘΍͍ͬͯ͘ʂ • ࣗಈԽ͠ɺ$*$%ύΠϓϥΠϯʹ૊ΈࠐΉ • 4-%$ͷૣ͍ஈ֊Ͱؾ෇͚ΔΑ͏ʹ͢ΔʮγϑτϨϑτʯ • ϦϦʔεલʹ·ͱΊ࣮ͯࢪɺҰఆظؒ͝ͱͷ࣮ࢪͷΈͱ͍ͬͨ Ξϓϩʔν͸໰୊͕େ͖͘ͳΓ͗ͯ͢ରॲ͕େมʹͳΔڪΕ

  14. ૊৫ɾΧϧνϟʔ • ૊৫͕%FW4FD0QTʹཧղΛࣔ͠ɺશମͰऔΓ૊Ή • ίϛϡχέʔγϣϯɾίϥϘϨʔγϣϯΛ׆ൃʹ͢Δ • ੒ޭ΋ࣦഊ΋ݟ௚͠ɺϑΟʔυόοΫΛड͚ͳ͕Βվળ Λ܁Γฦ͢ 13

  15. ͦ͏͸ݴͬͯ΋ɾɾɾ 14

  16. ͍͑ɺ·ͣ͸ ࣗ෼ࣗ਎Λݟ௚ͯ͠Έ·ͤΜ͔ʁ 15

  17. ͔ͭͯͷࢲ͕͍ؕͬͯͨצҧ͍ ʮྑ͍΋ͷΛ࡞Γ͍ͨʂʯ ؔ৺ͷ΄ͱΜͲ͕Ϗδωεɺ࢓༷ɺ࣮૷ʹ޲͍͍ͯͨ • ΞϓϦέʔγϣϯͷ࡞Γ͜Έ͕ͦ͜େࣄͩͱࢥ͍ͬͯͨ • ηΩϡϦςΟ΍ηΩϡϦςΟνʔϜ΁ͷؔ৺͕ബ͔ͬͨ • ηΩϡϦςΟ͕ͱʹ͔͘ාͯۤ͘खͩͬͨ •

    ηΩϡϦςΟΛ։ൃͷϥΠϑαΠΫϧʹ૊ΈࠐΉͱ͍͏ ҙ͕ࣝͳ͔ͬͨ 16

  18. 17 Ϣʔβʔʹಧ͘·Ͱ͕ʮྑ͍΋ͷΛ࡞Δʯ ηΩϡϦςΟνʔϜ΋Ұॹʹ΋ͷͮ͘ΓΛ͢Δ஥ؒ ʮηΩϡϦςΟʯ͸ൣғ͕޿͗͢Δʂ·ͣ͸෼ղ͔Β ηΩϡϦςΟνΣοΫ͸౰ͨΓલʹ܁Γฦ͠ߦ͏ ͜͏ߟ͑Α͏

  19. ͓ޓ͍ͷྖҬ΁ͷ ৺ߏ͑΍औΓ૊Έɺ վળϙΠϯτ͸͋Γ·ͤΜ͔ʁ 18

  20. ൓ରʹ ΠϚΠνڠྗ͕ಘΒΕͳ͍ͳͱ ײ͡Δ৔߹ɺ Կ͔צҧ͍΍ڪΕ͕ ͋Δͷ͔΋͠Ε·ͤΜ 19

  21. ૊৫ɾΧϧνϟʔͷҰา໨ • ·ͣ͸͓ޓ͍͕าΈدΓɺཧղ͠Α͏ͱ͢Δ • ڥքͷ޲͜͏ଆʹؙ౤͛͠ͳ͍ • શһ͕શ෦Λཧղ͢Δඞཁ͸ͳ͘ɺগͣͭ͠୲౰ྖҬΛ ޿͍͚͛ͯ͹ྑ͍ 20

  22. 21 5IBOLZPV

  23. ࢀߟ • ʮJFrog Xray Security and Compliance of the Open

    Source Software Dependencies You Rely onʯ https://jfrog.com/whitepaper/jfrog-xray-universal-component-analysis/ • ʮDevSecOpsͱ͸ʁʯhttps://jfrog.com/ja/devops-tools/what-is-devsecops/ • DZone 2017-04-24ʮ10 Tips for Integrating Security Into DevOpsʯhttps://dzone.com/articles/10- tips-for-integrating-security-into-devops • TECH+ 2022-02-08 ʮ೔ຊاۀͷ9ׂ͕ʰηΩϡϦςΟਓࡐෆ଍ʹ՝୊ʱ-ถ߽͸1ׂఔ౓ʯ https://news.mynavi.jp/techplus/article/20220208-2267778/ • Department of Defense (DoD) Chief Information OfficerʮDoD Enterprise DevSecOps Reference Designʯ https://dodcio.defense.gov/Portals/0/Documents/DoD%20Enterprise%20DevSecOps%20Reference %20Design%20v1.0_Public%20Release.pdf 22