Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
全てのエンジニアに伝えたいDevSecOpsのお話(入門)
Search
yuriemori
December 23, 2023
Technology
0
170
全てのエンジニアに伝えたいDevSecOpsのお話(入門)
2023/12/23のコミュニティイベントでLTで登壇させていただいた際の資料です。
DevSecOpsの入門の入門的なお話です。
yuriemori
December 23, 2023
Tweet
Share
More Decks by yuriemori
See All by yuriemori
GitHubで実現する開発ライフサイクルの効率化
yuriemori
1
98
Azure Pipelinesを使用したCICDベースラインアーキテクチャ実践
yuriemori
0
470
マルチテナントでのサービスコネクションを使用したAzure DevOps⇔Azure でのデプロイ実践
yuriemori
0
290
Azure DevOpsを活用したマルチチーム開発: ソース管理とセキュアプラクティス
yuriemori
0
260
エンジニアのキャリア開発と自己研鑽について
yuriemori
0
430
忙しい人のためのClean Architecture
yuriemori
1
260
Clean Architecture輪読会チームのチーム開発環境チラ見せ
yuriemori
1
96
AzureDevOpsを使ったScrumの実践_あるある問題への対処方を考えてみた.pdf
yuriemori
1
310
Clean Architectureの輪読会やってみた
yuriemori
0
490
Other Decks in Technology
See All in Technology
DynamoDB でスロットリングが発生したとき/when_throttling_occurs_in_dynamodb_short
emiki
0
250
SRE×AIOpsを始めよう!GuardDutyによるお手軽脅威検出
amixedcolor
0
170
[CV勉強会@関東 ECCV2024 読み会] オンラインマッピング x トラッキング MapTracker: Tracking with Strided Memory Fusion for Consistent Vector HD Mapping (Chen+, ECCV24)
abemii
0
230
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
Python(PYNQ)がテーマのAMD主催のFPGAコンテストに参加してきた
iotengineer22
0
500
TypeScript、上達の瞬間
sadnessojisan
46
13k
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
160
プロダクト活用度で見えた真実 ホリゾンタルSaaSでの顧客解像度の高め方
tadaken3
0
180
EventHub Startup CTO of the year 2024 ピッチ資料
eventhub
0
120
FlutterアプリにおけるSLI/SLOを用いたユーザー体験の可視化と計測基盤構築
ostk0069
0
100
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
150
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
Featured
See All Featured
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
6
430
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
A Tale of Four Properties
chriscoyier
156
23k
Docker and Python
trallard
40
3.1k
Documentation Writing (for coders)
carmenintech
65
4.4k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
900
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
Faster Mobile Websites
deanohume
305
30k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
Transcript
全てのエンジニアに伝えたい DevSecOpsのお話(入門) yuriemori 2023/12/23
Agenda 1. 自己紹介 2. Why DevSecOps Now? 3. ソフトウェアのライフサイクルの中でのDevSecOpsの実践 4.
まとめ
Yurie Mori(森 友梨映) Agile Specialist お仕事 AgileとDevOpsの実践の支援
DevOpsソリューション( Azure DevOps/GitHub )の導入・構築 技術スタック Azure DevOps, GitHub, Azure, .Net, C# Please follow me
Why DevSecOps Now? DevOps • Dev(開発)とOps(運用)がコラボレーションによる 無駄のない(Lean)ソフトウェア開発 • 継続的に顧客に価値を届けるための人、プロセ ス、テクノロジーの集合
DevSecOps • DevOpsの取り組みにおいてセキュリティをどの ように担保するか • DevOpsの実践はソフトウェア開発、デリバリー を高速化するがその中でどのようにセキュリ ティを担保するかが重要になってくる Security/Complianceの担保 +
Maintenance Release Test Build ソフトウェアのライフサイクルの中でのDevSecOpsの 実践(1/3) Plan コラボレーション/ 開発環境の整備 開発
継続的 インテグレーション(CI) ユーザーフィードバック の収集・改善 ソースコード 管理計画 テスト 自動化 継続的 デリバリー(CD) パフォーマンス監視と最 適化 サポート提供/ トラブルシューティング コラボレーション/開発環 境は最小特権の原則に基 づいてアクセス管理がさ れているか シークレット情報をべた 書きしてないか? セキュリティアップデー トはちゃんとしてるか 静的コード解析でソース の中のセキュリティ的な 脆弱性はチェックしてる か? ペネトレーションテスト を定期的に実施している か インシデント発生時のワークフ ローは定義されているか Dev Ops
ソフトウェアのライフサイクルの中での DevSecOpsの実践(2/3) コラボレーション/開発環境は最小特権の原則に基づいてアクセス管理 がされているか 開発チームのメンバーがシステムに対して必要最小限の権限のみを持つよ うにすることで、不正アクセスや権限の乱用を防ぐことができる シークレット情報をべた書きしてないか?
シークレット情報(パスワードやAPI Key)をソースコードの中にそのまま 置くのは漏洩のリスクがあるので、ソースの中には入れない方がよい 静的コード解析でソースの中のセキュリティ的な脆弱性はチェックし てるか? SAST(Static Application Security Testing): 実行前のコードを静的解析 して開発プロセスの早い段階でセキュリティリスクを特定して修正すること ができる ツールでいうとSonarQube, bandit等
ソフトウェアのライフサイクルの中での DevSecOpsの実践(3/3) ペネトレーションテストを定期的に実施しているか DAST(Dynamic Application Security Testing):実行中のアプリケーションに 対して外部から攻撃を模倣し、セキュリティの弱点を探す
例えばペネトレーションテストで検出される問題は、A: 70%, B: 20%, C: 10% に分類されて、A と B は開発行為の中で解消可能なものだとしたら、 90% はちゃんと開発やってれば防げる) セキュリティアップデートはちゃんとしてるか ソフトウェアや依存ライブラリのセキュリティパッチとアップデートは、新 たに発見された脆弱性に対処するために定期的に実施することが必要 インシデント発生時のワークフローは定義されているか なにかが起きないようにすることも大事だけれども、なにかが起きたときに 迅速に対応できるワークフローも同じぐらい大事。
まとめ セキュリティを開発ライフサイクルに統合しよう DevSecOpsは単なるSonarQubeとかGitHub Advanced Securityとかのツールセットではな く、セキュリティをソフトウェア開発のDNAに組み込む文化。 セキュリティは後から付け加えるものではなく、日々の開発ライフサイクルの中に
内在するもの。 攻めのセキュリティ 開発ライフサイクルの中で積極的にセキュリティを考慮して対処することで、修正 コストを削減し、信頼できるプロダクトを速やかにユーザーに提供することができ、 後戻りすることなく前進し続けることができる。 透明性の高いセキュリティ対策によってユーザーとの信頼を築く 明確で透明なセキュリティプロセスはユーザーにとって信頼の証となる
yuriemori
emiki
amixedcolor
abemii
oracle4engineer
iotengineer22
sadnessojisan
sinsoku
tadaken3
eventhub
.jpeg){kind=avatar}
ostk0069
sansantech
tubone24
tammyeverts
marcelosomers
chriscoyier
trallard
carmenintech
eileencodes
reverentgeek
deanohume
pedronauck
hatefulcrawdad
productmarketing
