DevSecOps とは?
DevSecOps は、セキュリティをソフトウェアライフサイクルのあらゆる段階に織り込み、別個のゲートではなくチーム全体の共有責任にすることで DevOps を拡張します。
DevOps は開発と運用の間の壁を壊しました。DevSecOps は、その同じ協調的な輪にセキュリティをもたらします。目的は、セキュアなソフトウェアをチームの働き方の自然な成果にすることであり、セキュリティは自動化され、継続的で、最後に押し付けられるのではなく全員が所有します。
なぜ DevSecOps が生まれたか
DevOps が delivery を加速させるにつれ、従来のセキュリティ - 遅く、手動で、後段の - はボトルネックと対立の源になりました。DevSecOps は、セキュリティを DevOps の速く自動化されたフローに統合することでその緊張を解消し、速く動くこととセキュアであり続けることがもはや相反しないようにします。
全員の仕事としてのセキュリティ
DevSecOps の文化的な核心は共有責任です。セキュリティは別個のチームだけの領域であることをやめ、すべてのエンジニアの仕事の一部になり、セキュリティ専門家は土壇場でリリースをブロックするゲートキーパーではなく、イネーブラーやアドバイザーとして機能します。
セキュリティの自動化
DevSecOps は、セキュリティが delivery のペースについていけるよう、自動化に大きく依存します。セキュリティテスト - コードスキャン、依存関係チェック、secret 検知、構成分析 - は変更ごとに pipeline で自動的に実行され、定期的な手動監査ではなく継続的な保証を提供します。
シフトレフトと継続的なセキュリティ
特徴的な実践は、セキュリティを左にシフトし、コードが書かれるときに問題が捉えられるよう早期にチェックを組み込むことです。しかし DevSecOps はライフサイクル全体にまたがります。セキュリティは、リリース前のスキャンだけでなく、monitoring、ランタイム保護、迅速なパッチ適用を通じて本番環境へと続きます。
ツールより文化
DevOps と同様に、DevSecOps は最終的には買う製品ではなく文化的なシフトです。ツールはそれを可能にしますが、本当の変化は考え方と協調にあります。開発者、運用、セキュリティがセキュアな delivery に向けて協力し、セキュリティを最初から組み込まれた品質属性として扱います。
重要なポイント
- DevSecOps は、DevOps ライフサイクルのあらゆる段階にセキュリティを統合します。
- セキュリティを別個の遅いゲートではなく、共有責任にします。
- 自動化とシフトレフトに依存しますが、根本的には文化的なものです。