ソフトウェアや技術インフラへの攻撃がより一般的になるにつれ、セキュリティ侵害は増加の一途をたどっています。ソフトウェアを開発する際に、セキュリティを考慮することがこれまで以上に重要になっています。また、 2021 Open Source Jobs Report では、ソフトウェア専門家の88%がDevOpsの手法を業務に活用していると報告しており、チームがDevOpsとセキュリティを組み合わせた統合的なアプローチをとることが不可欠です。
DevSecOpsプラクティスは、標準的なDevOpsプラクティスを拡張したもので、セキュリティを自動化し、それを継続的デリバリ、IaC(Infrastructure-as-Code)、可観測性などのプロセスの一部として組み込むことに焦点をあてています。DevSecOpsを使用することで、より安全なコードを迅速に提供できるだけでなく、開発者への早期フィードバックが容易になり、開発者がより信頼性の高いソフトウェアを構築できるようになります。
この増大する問題に対処するために、The Linux FoundationとContinuous Delivery Foundationは、オープンソース ソフトウェアを使用したソフトウェア デリバリ パイプラインへのDevSecOpsの導入を検討するオンライン トレーニング コースImplementing DevSecOpsを作成しました。このコースは、より安全なコードを迅速に提供したいと考えているソフトウェア開発者、サイト信頼性エンジニア、およびDevOps担当者を対象としています。
このコースは、DevSecOpsの基礎を築き、原則、実践、文化的側面、およびツールの展望を説明することから始まります。つづいて、さまざまなプラクティスを継続的デリバリ パイプラインに組み込む以下のような方法について説明します。
- ソフトウェア構成分析(SCA)を実行し、それを継続的インテグレーション パイプラインに追加する
- SASTツールを使用して静的コード分析とプロジェクト ゲーティングを実行し、コンテナ イメージをスキャンして脆弱性を確認する
- ライブ環境で動的アプリケーション ソフトウェア テスト(DAST)を実行する
- 一元化された脆弱性管理システムをセットアップし、可視性とアラートを提供し、セットアップする
- クラウド ネイティブのDevSecOpsパイプラインを構築する
- IaCを効果的に使用して、コンプライアンスの実施、ログの収集、イベントの分析を行い、セキュリティ問題の検出・監視を提供する
- クラウドとコンテナに関連するリスクに対処する
このコースを修了すると、DevSecOpsのプラクティスをソフトウェアの開発・配信に導入するための実戦的なプロフェッショナル スキルを身につけることができます。
このコースは、 スタンドアロンでの受講も可能ですが、 DevOps Bootcamp プログラムの一環として受講することもできます。DevOps Bootcampプログラムは、DevSecOpsやGitOpsを含むDevOpsの原則と実践を活用するための知識とスキルを、わずか6カ月間で体系的に習得できます。