タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
Mercari Advent Calendar 2020 の15日目は、メルカリ Product Security チームの Gloria Chow がお送りします。 こんにちは、Product Securityチームの@gloriaです。以前、オープンソースとして公開しているTestdeckという、マイクロサービスの自動化テストのための社内ツールについて記事を書きました。 今回は、2020年のAdvent Calendarの記事として、DevSecOpsについてお話をしたいと思います。近年、耳にする機会の多い話題の一つなので既にご存じの方もいらっしゃるかもしれませんが、DevSecOpsの基本的なコンセプト、注目されている理由、よくあるチャレンジとメルカリにおけるDevSecOpsの実践事例を紹介したいと思います。 DevSecOpsとは? DevSecOps以前から提唱されているDev
広告事業本部でリードデータエンジニアを行なっている大窄 直樹 (おおさこ)です. 前回は, AWSでのログ設計/実装に焦点を当てたブログを書きました. 今回は, AWSでのセキュリティ運用/実装に関する内容をお届けしようと思います! セキュリティ運用は難しいですよね. 日々新たな脆弱性が次々と発見されており, 脆弱性自体に気づくのも一苦労です. それに加えて, 対応してもお金を生み出すわけではないため, 過剰な対応をするわけにもいかず, 悩ましいところです(笑) 概要 このブログでは, セキュリティの考え方, 及びAWSでDevSecOpsを行う一手法を紹介します. 利用するサービスは以下のとおりです. Security Hub Amazon Inspector Snyk これらのサービスを使うことで, 開発, セキュリティ, 運用を密接に結びつけ, 効率的なセキュリティ運用を試みます.
はじめに Snyk IaCとは CIでのIaC解析 aquaでSnyk CLIを簡単にインストール&バージョン管理 reviewdogでコメント形式の指摘を実現 まとめ はじめに こんにちは。技術戦略室SREチームのkoizumiです。 最近は、katoさんからオススメいただいた「スクワットの深さは人間性の深さ」という本を読み、日々スクワットに励んでいます(大嘘)。 さて、こちらの記事は Gunosy Advent Calendar 2022 の9日目になります。 昨日の記事はGunosy Tech Lab 石川さんの「リモートモブプログラミング開発の実践」でした。 本日は「Snyk IaC + reviewdog + aquaではじめるDevSecOps」と題して、CIへSnyk IaCを導入した事例についてご紹介します。 先日、私が執筆したこちらの記事でも、「Shift-Leftによる
DevOpsとは? ロカオプサービスは、お知らせ でもご案内しております通り、2~3日に1回は、機能追加や、機能修正を行いリリースしております。その背景には、DevOpsという開発手法が関係しています。 DevOpsとは、Development (開発) と、Operations (運用) を合わせた語であり、ソフトウェアの開発と運用のサイクルを短い期間のサイクルで回していくことで、より迅速に新たな機能をリリースすることに重点をおいた開発手法です。 従来のソフトウェア開発は、1つの機能がリリースされるまで、およそ数ヶ月から数年開発サイクルとして要していました。しかしながら、最近ではお客様の声がよりダイレクトに届くようになり、また、ソフトウェアに対する要望 / 要求も日々移り変わっています。 そのため、お客様の声をより早くソフトウェアに反映し、それをより早くリリースするため、弊社ではDevO
はじめに:文化は、導入するものではなく、育てていくもの この記事は、複数のチームが関わる中規模〜大規模な開発組織で、DevSecOpsを推進しようとしている方々に向けて書いています。 横断チームのマネージャーとして、組織をまたいで文化を育てるという難易度の高いテーマに向き合ってきました。 DevSecOpsという言葉に初めて出会ったとき、定義や概念には納得感がありました。 でも、いざ現場に落とし込もうとすると、「で、うちのチームでは何から始めるべきなのか?」が見えてこない。 本や記事では「継続的な価値提供」「セキュリティのシフトレフト」などの美しいフレーズが並んでいます。 しかし、それをどう実現するか──現場と一緒に、泥臭く、迷いながら、どこまで進めるのか? その答えは、自分たちで見つけるしかありませんでした。 この記事は、私たちがその中で見えてきたもの、失敗したこと、気づいたことを丁寧に
コンテナ化されたアプリケーションの複雑さを解消するとして定評を得ているKubernetes。サービスを検出し、負荷分散を組み込み、リソースの健全性をチェックする他、コンテナを自動的に再起動しアプリケーションの自己修復を可能にするなど、多くの強みを持つ。その一方で、運用と可観測性においては、課題ももたらす。 Kubernetesによりアプリケーションのデプロイ/スケーリング/管理は簡素化されるが、インストールや構成、管理は複雑化する。またリカバリーが“機能しすぎる”ことにより、問題発生時に根本原因を探せなくなることもある。これらを回避するには、SRE(Site Reliability Engineer)と開発者の双方が、アプリケーションとそれが実行されるKubernetes環境との“依存関係”を理解する必要がある。 そこで活用したいのが、モダンアプリケーションの監視/可観測性/分析が必要な企
イベント概要プロダクト開発に関わるすべての人にとって「セキュリティ」は大きな悩みのタネの1つです。まだ駆け出しの開発者が自分の書いたコードに不安を覚えるのは勿論のことですし、チームのマネージャ・テックリード・CTOともなると、「うちの入社1年目の若手開発者はセキュアなコードを書けているのか」「彼/彼女のメンターはちゃんとセキュリティ上の問題を発見できているのか」という悩みがつきものでしょう。 本ウェビナーでは、シフトレフト・DevSecOpsの考え方をもとに自社 Web アプリケーションをセキュアにしていくためのベストプラクティスをお伝えします。とりわけ今回は Ruby on Rails 製の Web アプリケーションを例に、あなたのチームで DevSecOps を実践するための方法論を、具体的なツール・SaaSや環境設定例と共に紹介します。もっと安心してプロダクトを前に進められるチーム・
Database CI/CDStandardized database schema migrations and data changes with review, linting, and GitOps. Learn more Production AccessJust-in-Time (JIT) IAM-based database permissions with approval flow and audit logging. Learn more Data MaskingRole-based multi-level masking with data classification, custom algorithm, policy-as-code. Learn more
クラスメソッドのAWS総合支援 コスト最適化からセキュリティ、構築支援、運用保守まで、AWS活用を支援します。
Snykを組み込んだDevSecOps基盤「GigOps Security powered by Snyk」を発表しました! 本日2023年8月22日、「GigOps Security powered by Snyk」の提供開始を発表いたしました! 本ソリューションにより、TC3独自の手法であるギグ・エコノミーの開発者がオンデマンドに参画するプロジェクトにおいても、開発期間中から早期に脆弱性対策などのセキュリティ対策を講じることが可能になるとともに、継続的に機能拡張を行っていくようなアジャイルな開発ができる基盤をプロジェクト初期から導入することが可能です。 本ソリューションの詳細については、プレスリリース及び資料をご確認ください。 プレスリリース:https://www.tc3.co.jp/news/gigopssecurity-poweredby-snyk/ 紹介資料ダウンロードサイト:
この記事は何? freee社のDevSecOpsループを紹介する記事です。 ◆対象は? アプリケーションの開発や運用に関わる方 先に結論 DevSecOpsとは、DevOpsにsecurityを埋め込むことです。 セキュリティ対策について、何を、いつ取り組んだら良いかがわかりやすくなります。 知ったきっかけ 「Software Design 2024年6月号」で「成功するPSIRTの極意」という特集がありました。 著者はフリー株式会社の杉浦さんです。 PSIRTとは、「Product Security Incident Response Team」の略で、プロダクトのセキュリティ対応を行う組織です。 CSIRTは会社単位で活動するのに対して、PSIRTはプロダクト単位で活動します。 特集では、PSIRTの発足経緯やPSIRTの活動(DevSecOpsループ)が紹介されていました。 DevS
AWS認定トレーニング講師の平野@おんせん県おおいたです。 みんな、温泉入ってますかー? (挨拶 はじめに 本日こちらの勉強会に参加しました。 簡単にDecSecOpsのパイプラインを構築できるようになる素晴らしい内容でした。 すべての人に体験して実践してもらいたいと思いましたので、ハンズオン資料と共に共有します。 セキュリティ詳しくない方も、パイプライン詳しくない方も、大丈夫ですので、ぜひお試しください。 なぜシフトレフト(開発の上流でのセキュリティ対策)が重要か? AWS金森さんより、ハンズオンのまえにセッションがありました。 スライドにまとまっていますので、みなさんも手を動かす前にお読みください。 ハンズオン手順 こちらに手順がすべてまとまっています。読みながら学び、手を動かしながら学ぶ体験ができるようになっています。 尚、みなさんはご自身のAWSアカウントをご利用することになります
GitLabは米国時間8月6日、DevSecOps自動化向けプログラミング言語「GitLab CI/CD Steps」を発表した。 GitLab CI/CD Stepsは、GitLabのエンジニアが考案したコンセプトで、GitLabの継続的インテグレーション(CI)パイプライン構成で参照でき、CIジョブの再利用可能で構成可能な要素だと同社は説明する。複雑な自動化ワークフローをGitLab内で容易に作成することを可能にする。
2022年7月に「アジャイル開発におけるセキュリティ | パターン・ランゲージ」が公開されました。 こちらのドキュメントは、「アジャイル開発においてセキュリティをどのように担保するか」をパターン・ランゲージを使って解説されたものになっており、DevSecOpsに取り組むためにとても参考になります。 今回はDevSecOpsを成功させるためのポイント共に「アジャイル開発におけるセキュリティ | パターン・ランゲージ」の内容を紹介し、具体的にどのようなことを検討し、取り組み必要があるのかを私の経験を踏まえて解説したいと思います。 「アジャイル開発におけるセキュリティ | パターン・ランゲージ」とは?「アジャイル開発におけるセキュリティ | パターン・ランゲージ」は、「脆弱性診断士スキルマッププロジェクトが作成した『アジャイル開発においてセキュリティをどのように担保するか』のヒントを過去の成功事
本連載第1回では、CI/CD(継続的インテグレーション/継続的デリバリー)の概要と重要性を紹介しました。「開発、統合、デリバリー」のサイクルを高頻度で回すためには、「開発、統合、デリバリー」プロセスのさまざまな要素を自動化、効率化することが重要になります。今回は、GMOペパボ社内のさまざまな開発現場におけるCI/CDの実践例を紹介します。 前置き:GitHub Actionsの設定例について GMOペパボではGitHub Enterprise Server(以下、GHES)を広く活用しています。GHESにもGitHub Actionsは存在しており、社内のCI/CDの基盤として活用されています(一部、GitHub.comで動いているGitHub Actionsと仕様が異なる部分があります)。 本稿では、GitHub Actionsの設定の記述例をできるだけGitHub.comのGitHub
Datadog Japanは2025年7月25日、「2025年版DevSecOps調査レポート」を発表した。本レポートでは、緊急対応が本当に必要な脆弱(ぜいじゃく)性はごく一部に限られることや、他言語で開発されたアプリケーションに比べてJavaアプリケーションに脆弱性が多いことが明らかになった。 Datadogは脆弱性の深刻度をより正確に理解するため、実行時の状況(ランタイムコンテキスト)を踏まえた優先順位付けのためのアルゴリズムを開発した。同アルゴリズムは、従来のCVSS(共通脆弱性評価システム)が考慮していなかった要素――例えば「脆弱性が本稼働環境で実行されていたか」や「その脆弱性が見つかったアプリケーションがインターネット上で公開されていたか」など――を加味する。 Datadogが同アルゴリズムを適用して分析したところ、CVSS上で「緊急」とされていた脆弱性のうち、実際に優先対応が必
AWS DevOps & Developer Productivity Blog Building end-to-end AWS DevSecOps CI/CD pipeline with open source SCA, SAST and DAST tools DevOps is a combination of cultural philosophies, practices, and tools that combine software development with information technology operations. These combined practices enable companies to deliver new application features and improved services to customers at a highe
まず現状について小澤氏は、「DXなどを背景に、ニーズの多様化や変化へ迅速に対応すべくDevOpsを取り入れ、ソフトウェア開発サイクルを高速化させていく取り組みが徐々に浸透している。それに加えて、デジタル庁が『セキュリティ・バイ・デザインガイドライン』を公開したことで、安心、安全なソフトウェア開発の重要性がビジネス課題としても認識されるようになり、われわれに相談をされるケースが増えてきている」と話す。 DevSecOpsは、サイバーセキュリティ全体において、サイバー攻撃者に悪用される危険があるソフトウェアの脆弱(ぜいじゃく)性の発生リスクを低減する重要な取り組みだ。 「2024年もセキュリティソフトウェア製品の不具合によって開発元だけでなくそれを利用する組織でも大きな影響が生じたが、ソフトウェア製品の問題は経営課題と認識されるようになった。また、ソフトウェアの権利侵害などの問題から違約金の支
クラウドネイティブなアプリケーションでは、インフラとアプリケーションの境界がますます曖昧になっている。また、DevOpsでも開発と運用が近づき、重なりつつある。CI/CDのパイプラインを減速させることなく、いかにアプリケーションやデータのセキュリティを担保するのか。ガートナーのシニアディレクター,アナリスト、チャーリー・ウィンクレス氏が、クラウドネイティブのDevSecOpsにおける課題と解決方法、ツールの導入状況などについて解説した。 クラウドネイティブ化でインフラとアプリケーションの境界が曖昧に DevOpsとクラウドネイティブアプリケーションが組み合わさることによって、インフラとアプリケーションの境界、そして開発と運用の境界が曖昧になっている。 ガートナーには、顧客への調査を通じてクラウドネイティブのDevSecOpsを実現する上での主な課題を3つ抽出した。1つ目は、セキュリティに関
元現場エンジニアの「もっとこうしておけばよかった」から学ぶDevSecOpsのヒント:特集:クラウドネイティブのセキュリティ対策とDevSecOpsの勘所(1) 元現場エンジニアの「もっとこうしておけばよかった」という経験をアンチパターンとして振り返りつつ、どうすればDevSecOpsを浸透させることができるのかを紹介した、CloudNative Days TOKYO 2021のセッション「元現場エンジニアが思う『もっとこうしておけばよかった』から学ぶDevSecOps」の様子をレポートする。
GitLab Connect Japan 2024レポート ~「Opening Remarks and Welcome Keynote: The Evolution of DevSecOps」より 2月7日、「GitLab Connect Japan 2024」が東京で開催されました。本稿ではイベント最初のセッション「Opening Remarks and Welcome Keynote: The Evolution of DevSecOps」の模様をレポートします。 Opening Remarks and Welcome Keynote: The Evolution of DevSecOps このセッションでは、GitLab社に所属するメンバーやゲストが登壇する形で行われました。 今回のイベントについて 最初にGitLab合同会社 Japan Country managerの小澤正治氏
ビジネス x クラウド DevSecOps パイプラインを構築してみよう ! 2022-08-02 | Author : 高野 秀樹 こんにちは、builders.flash セキュリティシリーズの 3 作目を担当させていただきます、ソリューションアーキテクトの高野です。普段は製造業のお客様担当として、スマートプロダクトの開発支援や、SaaS plus a box といったモノとコトを組み合わせた新たなビジネス創出のお手伝いなどをさせていただいています。最近はこのような SaaS ビジネス関連の AWS イベント を実施しておりますので、ぜひご興味のある方はご覧ください。 新たなビジネスを創出する際には、市場の要求に迅速に応えるための開発スピードが求められますが、同時にプロダクトの品質もサービス展開のブロッカーにならない様に担保される必要があります。セキュリティもその重要な一要素です。 昨
DevSecOps の成熟度モデル組織の DevSecOps の実践状況を評価し、前進させるためのベストプラクティスこのホワイトペーパーでは、何千もの組織のDevSecOpsの実践を支援してきた経験に基づいて、開発・セキュリティ・運用の成熟度モデルを解説。主要なコンピテンシーとプラクティスを4つの異なる成熟度レベルにマッピングしています。 テクノロジー・リーダーむけに、このDevSecOps成熟度モデルを使って、3つの重要な疑問にお答えします。 自分の組織は今どのレベルにいるのか?自分の組織をどのレベルにしたいのか?どのようにしてそのレベルに到達するのか?
GitHubは2024年1月5日(米国時間)、「DevSecOps」を開発者にとってフレンドリーなものに向上させる5つのヒントを公式ブログで解説した。 DevSecOpsに取り組むことは、リスクの最小化、修復コストの削減、より迅速でセキュアな製品リリースなど多くのメリットがある。しかし、開発者の視点から見ると、断片的なツールの統合などにより、ソフトウェア開発ライフサイクル(SDLC)がより複雑になり、さらなる負担になることも多い。さまざまな種類のセキュリティアラートを理解し、優先順位を付け、解決するために、開発が遅れることもある。 GitHubは「開発者の負担にならないようにDevSecOpsを改善することは、安全で迅速な製品のリリースに不可欠だ」とし、5つのヒントを解説した。 DevSecOpsの取り組みを改善する5つのヒント 1.セキュリティの意思決定に開発者を参加させる セキュリティ
週刊Railsウォッチについて 各記事冒頭には🔗でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@hachi8833までメンションをいただければ確認・対応いたします🙏 TechRachoではRubyやRailsなどの最新情報記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:週刊Railsウォッチタグ) 🔗Rails: 先週の改修(Rails公式ニュースより) 公式更新情報に取り残され気味だったので今回はペースを上げます。 公式更新情報: Ruby on R
2025/07/19 HackFesでの発表資料です。 https://hackfes2025.hacker.or.jp/ #hackfes
テーマはSBOM。最近ではカンファレンスのキーワードで扱われる機会が増えてきている。JFrog Japan デベロッパーアドボケイト 横田紋奈氏は顧客からの問い合わせが増えているのを感じているという。「こういうのは浸透するまで時間もエネルギーもかかります。前回のデブサミでも取りあげましたが『この人しつこいな』と思われるまでやっていきます!」と元気にDevSecOpsの重要性について解説した。 (上)JFrog Japan株式会社 デベロッパーアドボケイト Java女子部 JJUG 横田紋奈氏、(下)JFrog Japan株式会社 デベロッパー・アドボケイト 佐藤由久氏 ソフトウェアの推移的依存関係をどこまで把握できるか? まずはソフトウェアのサプライチェーンについて考えてみよう。簡単に言えば、ソフトウェアが本番環境にデプロイされ、ユーザーの元へ届くまでの一連の流れを指す。物流のサプライチェ
CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。
Cloud-native applications have evolved into a standardized architecture consisting of multiple loosely coupled components called microservices (often typically implemented as containers) that are supported by an infrastructure for providing application services, such as service mesh. Both of these components are usually hosted on a container orchestration and resource management platform. In this
Learn about Pairs’ engineering efforts, product developments and more. こんにちは、エウレカの原田です。 セキュリティを測定可能にする技術 でも触れられている通り、今年のエウレカのセキュリティチームは様々な取り組みを進めてきました。この記事ではその中でもいわゆる DevSecOps の取り組みについて、深ぼって紹介したいと思います。 背景エウレカでは、各チームのエンジニア主導でのセキュリティ改善の取り組みが盛んに行われていたり ( 例: PairsにおけるEKSセキュリティの取り組み ) 、アプリケーションやインフラの開発におけるセキュリティを担保するツール群もいくつか導入されており、今年はこれらの運用をさらに成熟させていく、というタイミングでした。この状況で、セキュリティチームとして担うべき役割はいくつかありました。
こんにちは、臼田です。 本日はAWS Security Roadshow Japan 2021で行われた以下の講演のレポートです。 DevSecOps at PayPay achieving secure and fast development (安全かつ迅速な開発を実現する PayPay の DevSecOps) 本セッションでは、複数の AWS アカウントのセキュリティコンプライアンスを管理する際の課題と、DevSecOps チームが Infrastructure as Code、AWS Security Hub、オートメーションを使用してセキュリティコンプライアンスを実施する方法についてご説明します。 PayPay株式会社 DevSecOps Engineer, DevSecOps team, Product Division Julien Kasarherou PayPay株式会
Product Security Casual Talk #1 - Datadog を使ったセキュリティモニタリングと 自動化の取り組み
Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
あなたにとって重要なトピックや同僚の最新情報を入手しましょう最新の洞察とトレンドに関する最新情報を即座に受け取りましょう。 継続的な学習のために、無料のリソースに手軽にアクセスしましょうミニブック、トランスクリプト付き動画、およびトレーニング教材。 記事を保存して、いつでも読むことができます記事をブックマークして、準備ができたらいつでも読めます。
DevSecOps最前線 フロントランナーから学ぶ最新トレンドと成功事例 クレジットカード情報や個人情報などの大規模な漏洩など、Webアプリケーションやスマートフォンアプリ、ECサイト、Webサービス、ソフトウェアを標的にしたサイバー攻撃の被害が後を絶たない状況です。 これらの原因となる脆弱性を放置すれば、サイバー攻撃の標的となり、事業の継続すら脅かされるリスクがあることから、ソフトウェア開発において、セキュリティはもはや後付けできるものではありません。こうした状況の中、「DevSecOps」は、開発のスピードを損なうことなくセキュリティを組み込むアプローチとして注目され、先進的な企業で導入が進んでいます。 本セミナーでは、セキュア開発の第一人者 徳丸浩 をはじめ、実際にDevSecOpsを実践する企業のエキスパートが成功事例を共有するとともに、それを実現するソリューションを提供する企業が
Part of the Spectral API Security Series Collaboration is key. Not only in software development. But when it comes to collaboration on Git repositories, the word “key” takes on a whole new meaning. Whether it’s API Keys, passwords, or digital certificates; the secrets used to authenticate access must remain secure. The open nature and convenience of Git repositories are often encumbered by human-e
こんにちは。 AWS re:Invent 2022 、楽しんでいますでしょうか。 ラスベガス現地では Session はもちろん、 ラボ環境などで実際に触りながら学ぶ Workshop や、 ホワイトボード上でAWSエキスパートとアーキテクチャの議論などができる Chalk Talk など、 多種多様な学びを得ることができます。 今回はワークショップである Build a complete DevSecOps pipeline on AWS(COP206-R) に参加してきました。 そのレポートを書いていきます。 ワークショップの内容 はじめにワークショップの説明とアーキテクチャ全体像を引用します。 Build a complete DevSecOps pipeline on AWS Organizations want to deliver applications that prior
また、アタックサーフェスが拡大した主な原因として、59%はIoTやコネクテッドデバイスの利用増加を、56%はクラウド採用の加速を、51%は急速なデジタル変革の展開を挙げている。 そして大多数となる88%は、ソフトウェアのライフサイクル全体を通じたかたちで、モダンアプリケーションをセキュアにするために実行できることがまだあると認めている。しかし、81%はソフトウェアセキュリティにまつわるスキルとリソースの不十分さが組織の課題だと述べ、78%がアプリケーション開発チームとセキュリティチームの間でビジョンが共有されていない結果、向こう12カ月はソフトウェアセキュリティに関する課題に直面するとしている。 回答者らは、2023年に遭遇するであろう、ソフトウェアのセキュリティに関するさまざまな課題を指摘した。こういった課題の中には、アタックサーフェスや脆弱性の可視化、機密データの特定と保護、深刻度と業
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く