DevSecOps
イシュー
- Secの部分が何かを調べる
DevSecOps
- DevSecOps とは | Red Hat
- DevSecOps 用語と使い方 | シノプシス
- DevSecOpsの原理は、方向付け、設計、構築、テスト、リリース、サポート、保守その他を含むDevOpsライフサイクル全体にセキュリティを組み込むというものです。DevSecOpsでは、セキュリティはDevOpsバリューチェーン内の全員の共同責任です。DevSecOpsでは開発チーム、リリース管理(または運用)チーム、セキュリティ・チーム間の継続的で柔軟な協調が必要です。つまり、DevSecOpsはセキュリティを損なうことなくスピードを維持する役割を担います。
- DevSecOpsを実装するには、CI/CDプロセスに統合するさまざまなアプリケーション・セキュリティ・テスト(AST)ツールを検討する必要があります。一般的に利用されているASTツールの一部を以下に示します。
- DevSecOpsとは何か — 導入する組織が増加している理由 | メルカリエンジニアリング
- mercariの例
- セキュリティも同じように、従来はペネトレーションテストなどのセキュリティ活動は最後のフェーズで行われていましたが、DevSecOpsでは各フェーズで行われるようになりました。
- DevSecOpsについてよく耳にする誤解は、テスト、デプロイメント、モニタリングとセキュリティの責任を開発者に移譲したら、QA・セキュリティ・Operationsのエンジニアが必要なくなるという考えです。DevSecOpsの目的はこの3つの職を排除することではなく、むしろ彼らに開発者をサポートする役割を与えることです。つまり、開発者と友好的に協力して働くということです。
- いま注目されている DevSecOps とは - vol.1 | SBテクノロジー (SBT)
- softbankの例
- https://www.opensquare.co.jp/seminar_document/107/01_DevSecOps.pdf
- DEVSECOPSとは? | JFrog
DevSecOps セキュリティを考慮した開発 | サイバーフォートレス
- プロセス条件とか使えそう
DevSecOpsとは?「DevSecOps Days Tokyo」レポート②基調講演「DevSecOpsの導入を成功させるための5つのチャレンジ」 | DX・データ活用情報発信メディア-DOORS
- DevSecOps Days Tokyo 2020とかあるらしい
- 5つの課題が使えそう
- 1つめの課題は「Lack of Assurance」
- 2つめの課題は「組織的な壁」
- 3つめの課題は「品質不足」
- 4つめの課題は「セキュリティスキル不足」
- 5つめの課題は「セキュリティガイダンスが不十分」
- IEEE におけるDevSecOpsの定義を見てみましょう。DevSecOpsは原則と実践の一体となったもので、単なるガバナンスの問題ではありません。ソフトウェア開発のライフサイクルに関わる人は誰でも、ステークホルダーとのコミュニケーションやコラボレーションが求められます。
- Preliminary Findings about DevSecOps from Grey Literature | IEEE Conference Publication | IEEE Xplore