DevSecOps

イシュー

• Secの部分が何かを調べる

DevSecOps

• DevSecOps とは | Red Hat
• DevSecOps 用語と使い方 | シノプシス
  • DevSecOpsの原理は、方向付け、設計、構築、テスト、リリース、サポート、保守その他を含むDevOpsライフサイクル全体にセキュリティを組み込むというものです。DevSecOpsでは、セキュリティはDevOpsバリューチェーン内の全員の共同責任です。DevSecOpsでは開発チーム、リリース管理（または運用）チーム、セキュリティ・チーム間の継続的で柔軟な協調が必要です。つまり、DevSecOpsはセキュリティを損なうことなくスピードを維持する役割を担います。
  • DevSecOpsを実装するには、CI/CDプロセスに統合するさまざまなアプリケーション・セキュリティ・テスト（AST）ツールを検討する必要があります。一般的に利用されているASTツールの一部を以下に示します。
    • 静的アプリケーション・セキュリティ・テスト（SAST）
    • ソフトウェア・コンポジション解析（SCA）
    • インタラクティブ・アプリケーション・セキュリティ・テスト（IAST）
    • 動的アプリケーション・セキュリティ・テスト（DAST）
• DevSecOpsとは何か — 導入する組織が増加している理由 | メルカリエンジニアリング
  • mercariの例
  • セキュリティも同じように、従来はペネトレーションテストなどのセキュリティ活動は最後のフェーズで行われていましたが、DevSecOpsでは各フェーズで行われるようになりました。
  • DevSecOpsについてよく耳にする誤解は、テスト、デプロイメント、モニタリングとセキュリティの責任を開発者に移譲したら、QA・セキュリティ・Operationsのエンジニアが必要なくなるという考えです。DevSecOpsの目的はこの3つの職を排除することではなく、むしろ彼らに開発者をサポートする役割を与えることです。つまり、開発者と友好的に協力して働くということです。
• いま注目されている DevSecOps とは - vol.1 | SBテクノロジー (SBT)
  • softbankの例
• https://www.opensquare.co.jp/seminar_document/107/01_DevSecOps.pdf
• DEVSECOPSとは？ | JFrog

• DevSecOps セキュリティを考慮した開発 | サイバーフォートレス

  • プロセス条件とか使えそう

• DevSecOpsとは？「DevSecOps Days Tokyo」レポート②基調講演「DevSecOpsの導入を成功させるための5つのチャレンジ」 | DX・データ活用情報発信メディア-DOORS

  • DevSecOps Days Tokyo 2020とかあるらしい
  • 5つの課題が使えそう
    • 1つめの課題は「Lack of Assurance」
    • 2つめの課題は「組織的な壁」
    • 3つめの課題は「品質不足」
    • 4つめの課題は「セキュリティスキル不足」
    • 5つめの課題は「セキュリティガイダンスが不十分」
  • IEEE におけるDevSecOpsの定義を見てみましょう。DevSecOpsは原則と実践の一体となったもので、単なるガバナンスの問題ではありません。ソフトウェア開発のライフサイクルに関わる人は誰でも、ステークホルダーとのコミュニケーションやコラボレーションが求められます。
  • Preliminary Findings about DevSecOps from Grey Literature | IEEE Conference Publication | IEEE Xplore