サイト内検索
Translation here

2017/03/29(水)セキュアな開発と運用サイクル~DevSecOpsの舞台裏 #asucon #あすかん

Apitore WebAPIハンズオン Vol.1 @大手町
OWASP、見直しておこう。

もくじ

アプリケーションにおけるセキュリティの重要性

アプリケーション開発に対して開発:コストで95%持ってる
セキュリティにはリスク:コストで10%しか割いてない

攻撃と当時の対応など、生のお話

どう聞いてもヤバいネタがこう

上流への軽視

設計1
構築85
検証15
対応コスト100

運用側に起こってから対応するようでは遅いし、そもそもリスクコントロールできない。

DevSecOpsの3つのファクター

  • 脆弱性対応
    • アプリケーション(製品)
    • システムOSなど(環境)
    • ユーザー(運用)
  • 問題を未然に防ぐために
  • チーム体制の変更

実例

  • 100台ものLinux群を監視
  • 外部アクセスしないシステムだしアンチウィルスソフトを入れておけば、ぐらいの感覚
  • IPS/IDS,WAFで何とかなるでしょう、と思ってたが甘かった。

問題

  • 新しい脆弱性情報を常に収集しておかなければならない。
    • ここが一番難しい。
  • そしてクリエイティブ感がない。
  • 対応出来てるか不安
これらをツールで解決(Vuls)する

脆弱性スキャナーVulsとは

github/vulsrepo
  • 日本の脆弱性DB:JVN,米国の脆弱性DB:NVDから当該状況を察知
  • Dockerコンテナも見れる
  • やることはsshで入ってコマンド発行するだけ
  • 勝手にアップデートはしないので、導入トラブルもなく安心
  • 問題が可視化されるので、止められないシステムに対してもセキュリティの意識が高まる

脆弱性に対する対応の意識変化

後からゆっくり精査して対応しているようでは遅いのでは?
→専門のチームを作成している

開発と保守のチーム距離感

#CybozuMeetup
スライドは後程公開のこと

URLは手打ちしてるので間違ってるかも……
https://docs.com/user496004/3370/cybozu-meetup-2-sre
https://cybozu.connpass.com/event/54606/ (4/21)
http://blog.cybozu.io/entry/2016/03/11/080000

筆者注

開発評価・運用保守・改善チームの3つで回す
運用側が協力的(開発チームのインプット、ログ取得、問題察知)

社内ツールをgithubにあげると、社員が検索して見つけられる(ggって分からんという事をなくす)
Q.危険では?
A.そんな事はない。
uroboroSQL:SQLのカバレッジを取れる

戻る

Apitore WebAPIハンズオン Vol.1 @大手町
OK キャンセル 確認 その他