こんにちは、JFrogデベロッパーアドボケイトのよこなです。毎日地獄のように暑いですが皆さんバテていませんか…。
7月30日に行われたDevelopers Summit 2021 SummerにてJFrogはプラチナスポンサーをさせていただきました。
スポンサーセッションとしてDevSecOpsの話をしたので、簡単に振り返ってみます!といってもプレゼンの動画も公開される予定ですし、基本的に資料はそれだけ見てもなんとなく分かるように作ってありますし(本人はいつもそのつもり…)、ポイントと所感だけ。
speakerdeck.com
セッションでお伝えした内容は次のような感じです。
- DevOps復習: コラボレーションにより顧客に価値を届け続けることを目指す
- DevSecOpsの考え方ではDevとOpsに加えSec(セキュリティ)も協力する
- セキュリティといっても色々あるが、DevSecOpsでは主にソフトウェアのセキュリティを扱う
- 開発ライフサイクル(≒CI/CD)に自動で行うセキュリティチェックを組み込むのを目指すと分かりやすい
- ソフトウェアのセキュリティとして取り組めることにも種類があるが、動的・静的なチェックともに(できる/必要なところから)行うと良い
- 関心の向きがちな自分の書いたコードのみならず、依存するOSSの脆弱性にも対策を講じる必要がある
- OSSの脆弱性を放置したことによるインシデント(個人情報の流出など)は実際に事例がある
- CI/CDを活用し、自動で早めかつ定期的なチェックを行う
- 効率良いセキュリティチェックのためにもバイナリ・リポジトリマネージャーでアーティファクトを管理する
- アーティファクトは依存解決が済んでおり、リリースする対象となる
- 自らビルドして作成したアーティファクト・ライブラリなど外から取得したアーティファクトの両方を管理しておく
- セキュリティチェックが出来る以外にも管理のメリットは多数ある
- ツール追加で自動のセキュリティチェックを当たり前にするとともに、効率化により出来た時間は思考や判断が必要な作業に割く
- どこから始めるかは組織次第だが、まずは普段の悩みや隣の人との雑談など身近なところからやっていきたい
- DevOpsやDevSecOpsなどが定着していない(させづらい)組織ではセキュリティというポイントを使って周りを巻き込むのも手である
- 自分が楽に、幸せになるところからやればそれが組織にとってプラスになる
三行に出来たら良かったんですが…結構長くなりました。これが40分程度のセッションのまとめです。
純粋にセキュリティやっていき💪な方はぜひ参考にしていただけたら嬉しいですし、終盤で話したように「周りを巻き込むためのタネ」とするのもアリだと思います。結果として何かが良くなるのであれば!
実際DevSecOpsはとても関心が高く、JFrogにコンタクト取って下さるかたも、セキュリティきっかけで興味を持ったという方がたくさんいらっしゃいますよ!
さて、ソフトウェアエンジニアだった頃の私がこうしたセキュリティに対する取り組みを理解していたかというと…足りていなかったように思います。
どちらかというとマーケティングとか自分の担当システムの使い手といった方々とのコラボを重視していた私ですが、運用やセキュリティとのそれについては今振り返ればもっと出来たことがありました。単純に知識不足が原因な気がします。
言い訳ではないですが、担当以外のことって難しいし時間も足りないし、ちゃんと分かってコラボレーションのため積極的に動くのは簡単なことではないですよね。「もやもやを抱えて仕事しているけど自分にはどうしようもない」「やる気はあるが何をどう変えたらいいか分からない」という方に日々出会うのも本当によく分かります😢
だからこそデベロッパーアドボケイトとなった今、忙しい中クイックに大事なことを知るための話をしたり、スーパーマンじゃないエンジニア(←まさに私のような)にも出来ることをお伝えしたりと、過去の学びからなるべく有益なネタを見つけようと思う今日この頃です。
ぜひ皆さんの悩みや取り組みなども教えて下さいね。
最後に、デブサミの運営、参加者、スピーカーの皆様、お疲れさまでした。そして、ありがとうございました。
ちょうど次のウェビナーがDevSecOpsに関するツールについてなのでよければぜひ!スピーカーは同僚の三宅です◎
leap.jfrog.com