DevSecOps
概要
DevSecOps は、DevOps の開発・運用の流れに セキュリティ(Security)を統合 する考え方・実践です。セキュリティを開発の最後にまとめて行うのではなく、ライフサイクル全体に組み込む「シフトレフト(Shift Left)」が中心思想です。書籍『DevSecOpsを学ぶ』が扱う領域です。
中心思想:シフトレフト
- セキュリティチェックを開発の早い段階(左側)へ移す
- 問題を早く・安く発見・修正できる(テスト駆動開発 の「早期発見」の精神と共通)
- セキュリティを「全員の責任」とする文化
CI/CD パイプラインへの統合
| 手法 | 概要 |
|---|---|
| SAST(静的解析) | ソースコードを解析して脆弱性を検出 |
| DAST(動的解析) | 実行中のアプリに攻撃を試みて検出 |
| SCA(ソフトウェア構成分析) | 依存ライブラリの既知脆弱性を検出(例:dependabot、uv audit) |
| シークレットスキャン | 認証情報の漏洩を検出 |
| IaC スキャン | インフラ構成の設定ミスを検出 |
Claude Code による dependabot の依存調査も、この SCA 的な営みの一例。LLM を脅威モデル構築〜脆弱性発見〜検証〜パッチに使う防御的活用も実用段階にある(Webアプリケーションセキュリティ の「LLM による脆弱性発見」)。Using_LLMs_to_Secure_Source_Code
近年は パッケージマネージャ自体に SCA を内蔵 する流れがあり、Python の uv は脆弱性スキャンとインストール時のマルウェアチェックを標準機能として取り込んでいる。SCA を専用ツールから日常のパッケージ操作へ「シフトレフト」する動きで、サプライチェーン攻撃 への一次防御になる。Python Package Manager uv Introduces Vulnerability Scanning
関連トピックとの接続
- 守るべき脆弱性 → Webアプリケーションセキュリティ
- 自動化と運用 → クラウドアプリケーション設計原則 / オブザーバビリティ
- リリース自動化 → Palantir Apollo のような CI/CD 基盤