Upgrade to Pro — share decks privately, control downloads, hide ads and more …

開発生産性と Security Shift Left

uncle
August 14, 2024

開発生産性と Security Shift Left

社内LTで使用したスライドです

スライド内リンク:
参考:DORA の資料
https://dora.dev/capabilities/
https://dora.dev/capabilities/pervasive-security/
参考:DX Criteria の資料
https://dxcriteria.cto-a.org/b28408f9d5bd4c3294d7aa048e0ffdc2

代表的なSecret Scanningツール
- GitLeaks
- https://gitleaks.io/index.html
- GitHub Secret Scanning
- https://docs.github.com/en/code-security/secret-scanning/introduction/about-secret-scanning
- Trivy
- https://aquasecurity.github.io/trivy/v0.27.1/docs/secret/scanning/

代表的なSCAツール
- Trivy
- https://trivy.dev/
- Dependabot
- https://docs.github.com/ja/code-security/dependabot/working-with-dependabot
- Snyk Open Source
- https://snyk.io/jp/product/open-source-security-management/

代表的なSASTツール
- GitHub Advanced Security
- https://docs.github.com/ja/get-started/learning-about-github/about-github-advanced-security
- Semgrep
- https://semgrep.dev/products/semgrep-code
- Snyk Code
- https://snyk.io/jp/product/snyk-code/
- Trivy
- https://trivy.dev/

代表的なDASTツール
- Securify
- https://www.securify.jp/
- GMOサイバーセキュリティ byイエラエ
- https://gmo-cybersecurity.com/

uncle

August 14, 2024
Tweet

More Decks by uncle

Other Decks in Technology

Transcript

  1. DevSecOps このShift Leftは、DevSecOpsなどとも言われたりします。 既存のDevOpsのサイクルの中にセキュリティ対策も含めて、文字通りセキュリティチェックを Shift Leftし ていきます。 セキュリティのShift Leftに関する取り組みは下記と言われています。 -

    専任のセキュリティチームによる最新動向等に基づくレビュー - 定期的な脆弱性診断の実施 - ソースコードの自動的セキュリティチェック(静的解析・動的解析) - 自動テストの中で脆弱性検査機能を含むものの適用 - 開発企画段階におけるセキュリティレビューの実施 セキュリティのShift Leftを実施していくにあたり、実際にどのような対策をしていくのがいいのかを記載し ていきます。
  2. 代表的なSecret Scanningツール - GitLeaks - https://gitleaks.io/index.html - GitHub Secret Scanning

    - https://docs.github.com/en/code-security/secret-scanning/introduction/about-secret-scanning - Trivy - https://aquasecurity.github.io/trivy/v0.27.1/docs/secret/scanning/
  3. 代表的なSASTツール - GitHub Advanced Security - https://docs.github.com/ja/get-started/learning-about-github/about-github-advanced-security - Semgrep -

    https://semgrep.dev/products/semgrep-code - Snyk Code - https://snyk.io/jp/product/snyk-code/ - Trivy - https://trivy.dev/