README.jp.md

DevSecOpsを始めたいすべての人のためのロードマップ。

DevSecOpsとは何か、なぜ重要なのか？

DevSecOpsは、ソフトウェア開発ライフサイクル（SDLC）の各フェーズにセキュリティを統合することを目指す文化であり実践です。 開発チーム、セキュリティチーム、運用チーム間のコラボレーションを重視します。 目標は、脆弱性を減らし、より迅速で安全なデプロイメントを保証するために、最初から安全なソフトウェアを構築することです。 このロードマップは、個人や組織がDevSecOpsの実践を導入するのに役立つリソースとツールの厳選されたリストを提供します。

📜 目次

• ロードマップ
• ツール
• リソース
  • 0. DevSecOps概要
  • 1. 設計
  • 2. 開発
  • 3. ビルド
  • 4. テスト
  • 5. デプロイ
  • 6. 運用と監視
• CICDのセキュリティ
• 素晴らしいリソース
• その他のロードマップ
• まとめ
• 貢献者
• 貢献する

📖 このロードマップの使い方

このロードマップは、DevSecOpsの実践を採用または改善しようとしている個人や組織のための包括的なガイドとして設計されています。最大限に活用する方法は次のとおりです。

1. 基本を理解する： DevSecOpsが初めての場合は、「DevSecOpsとは何か、なぜ重要なのか？」セクションから始めて、基礎的な理解を深めてください。
2. 全体像を見る： メインのロードマップ画像は、DevSecOps内のさまざまな段階と領域の視覚的な概要を示しています。これを使用して自分自身を方向付けてください。
3. ツールを探る： ツールセクションでは、さまざまなDevSecOps機能を実装するのに役立つソフトウェアとサービスの厳選されたリストを提供しています。
4. リソースを深く掘り下げる： リソースセクションは、DevSecOpsライフサイクル（設計、開発、ビルド、テスト、デプロイ、運用と監視）によって分類されています。各カテゴリには、記事、ガイド、および公式ドキュメントへのリンクが含まれています。特定のニーズや関心のある分野に基づいてこれらを調べることができます。
5. CI/CDセキュリティに焦点を当てる： パイプラインの保護に焦点を当てている場合は、CICDのセキュリティセクションで対象となるリソースを提供しています。
6. 貢献する： これはコミュニティ主導の取り組みです。提案がある場合、リンク切れを見つけた場合、または新しいリソースを追加したい場合は、CONTRIBUTING.mdガイドをご覧ください。

直線的に進む必要はありません。現在の課題や学習目標に最も関連性の高いセクションに自由にジャンプしてください。

💭 ロードマップ

🔩 ツール

このプロジェクトには、DevSecOpsの実践を実装するのに役立つツールの厳選されたリストが含まれています。これらのツールは、静的アプリケーションセキュリティテスト（SAST）、動的アプリケーションセキュリティテスト（DAST）、シークレット管理、脅威モデリング、コンポーネント分析など、SDLCのさまざまな段階をカバーしています。

➡️ DevSecOpsツールリストを探る

このリストは、ツールをすばやく見つけて比較し、検索と意思決定にかかる時間を短縮できるように設計されています。

📦 リソース

0. DevSecOps概要

• 概要
  1. WikipediaとGrokipediaのDevSecOps
  2. Zero to DevSecOps (OWASP Meetup)
  3. DevSecOps What Why And How (BlackHat USA-19)
  4. DevSecOps – Security and Test Automation (Mitre)
  5. DevSecOps: Making Security Central To Your DevOps Pipeline
  6. Strengthen and Scale security using DevSecOps
  7. DSOVS (OWASP DevSecOps Verification Standard)
  8. What is DevSecOps? (Github)

1. 設計

• 開発ライフサイクル
  1. SDL(Secure Development Lifecycle) by Microsoft
  2. OWASP's Software Assurance Maturity Model
  3. Building Security In Maturity Model (BSIMM)
  4. NIST's Secure Software Development Framework
  5. DevSecOps basics: 9 tips for shifting left (Gitlab)
  6. 6 Ways to bring security to the speed of DevOps (Gitlab)
• 脅威モデル
  1. What is Threat Modeling / Wikipedia
  2. Threat Modeling by OWASP
  3. Application Threat Modeling by OWASP
  4. Agile Threat Modeling Toolkit
  5. OWASP Threat Dragon

2. 開発

• セキュアコーディング
  1. Secure coding guide by Apple
  2. Secure Coding Guidelines for Java SE
  3. Go-SCP / Go programming language secure coding practices guide
  4. Android App security best practices by Google
  5. Securing Rails Applications

3. ビルド

• SAST(Static Application Security Testing)
  1. Scan Source Code using Static Application Security Testing (SAST) with SonarQube, Part 1
  2. Announcing third-party code-scanning tools: static analysis & developer security training
  3. SAST levels defined by OWASP

4. テスト

• DAST(Dynamic Application Security Testing)
  1. Dynamic Application Security Testing with ZAP and GitHub Actions
  2. Dynamic Application Security Testing (DAST) in Gitlab
  3. DAST using projectdiscovery Nuclei (github action)
  4. ZAPCon 2021-Democratizing ZAP with test automation and domain specific languages
  5. DAST levels defined by OWASP
• ペネトレーションテスト
  1. Penetration Testing at DevSecOps Speed

5. デプロイ

• セキュリティ強化と設定
  1. CIS Benchmarks
  2. DevSecOps in Kubernetes
• セキュリティスキャン
  1. Best practices for scanning images (docker)

6. 運用と監視

• RASP(Run-time Application Security Protection)
  1. Runtime Application Self-Protection by rapid7
  2. Jumpstarting your devsecops - Pipeline with IAST and RASP
• セキュリティ監査
• セキュリティ監視
  1. IAST(Interactive Application Security Testing)
     • IAST levels defined by OWASP
  2. メトリクス、監視、アラート
• セキュリティ分析
  1. Attack Surface Analysis Cheat Sheet by OWASP

CICDのセキュリティ

• Github Actions
  1. Security hardening for GitHub Actions
  2. Github Actions Security Best Practices
  3. GitHub Actions Security Best Practices [cheat sheet included]
• Jenkins
  1. Securing Jenkins
  2. Securing Jenkins CI Systems by SANS
  3. DEPRECATED/chef-jenkins-hardening

素晴らしいリソース

• https://github.com/TaptuIT/awesome-devsecops

🚀 その他のロードマップ

U.S. Department of Defense	Larry Maccherone
The DevSecOps Security Checklist	Gitlab security devops diagram

🙏🏼 まとめ

ロードマップを改善できると思われる場合は、PRを開いて更新を送信し、問題を送信してください。また、今後も改善を続けていきますので、このリポジトリにスターを付けて再訪することをお勧めします。

アイデア元: Go Developer Roadmap

貢献者