DevSecOps
DevSecOps とは何ですか?
DevSecOpsセキュリティの責任を DevOps のワークフローに組み込み、安全なソフトウェアを継続的かつ高速に提供するための文化とプラクティス群。
DevSecOps はセキュリティを「最後の関門」ではなく、開発・セキュリティ・運用が共有する責任と位置づけて DevOps を拡張します。CI/CD パイプライン内に SAST、SCA、シークレットスキャン、コンテナスキャン、IaC 解析、DAST、ポリシー・アズ・コードなどを自動化し、開発者が普段使う場所で問題を可視化します。自動化に加え、セキュリティチャンピオン、責任追及をしない振り返り、KPI ダッシュボード、セルフサービスツールといった文化変革も伴います。うまく機能すれば、平均修復時間と本番への脆弱性流出を減らし、コンプライアンスの摩擦を下げつつ、高いデプロイ頻度を維持できます。
● 例
- 01
GitHub Actions のパイプラインで、すべての Pull Request に Trivy・Semgrep・Gitleaks を実行する。
- 02
Terraform プランの適用前に OPA/Conftest によるポリシー・アズ・コードを強制する。
● よくある質問
DevSecOps とは何ですか?
セキュリティの責任を DevOps のワークフローに組み込み、安全なソフトウェアを継続的かつ高速に提供するための文化とプラクティス群。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
DevSecOps とはどういう意味ですか?
セキュリティの責任を DevOps のワークフローに組み込み、安全なソフトウェアを継続的かつ高速に提供するための文化とプラクティス群。
DevSecOps からどのように防御しますか?
DevSecOps に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
DevSecOps の別名は何ですか?
一般的な別名: SecDevOps, Rugged DevOps。