# OWASP DevSecOps ガイドライン

OWASP DevSecOps ガイドラインはどのようにしてセキュアなパイプラインを実装するかを説明し、ベストプラクティスを使用し、この事象に使用できるツールを紹介します。また、このプロジェクトは開発プロセスにおいてシフトレフトのセキュリティ文化を促進することに役立てようとしています。 このプロジェクトは開発パイプライン、つまり DevOps パイプラインを持つあらゆる規模の企業に役立ちます。 このプロジェクトでは、セキュアな DevOps パイプラインの展望を描き、カスタマイズされた要件に基づいてそれを改善していきます。

理想とする目標は **"(設計やアプリケーションの脆弱性による) セキュリティ問題をできるだけ早く検出すること"** です。

## 最初のステップ

DevSecOps とは DevOps にセキュリティを取り込むことです。しかし CI/CD のペースに追いつくためにはソフトウェア作成やテストの初期段階でセキュリティを注入する必要があります。

![DevSecOps cycle](/files/Lhg68oMldLmZbzfFahbh)

[OWASP プロアクティブコントロール](https://owasp.org/www-project-proactive-controls/) にはすべての開発者がアプリケーションをコーディングする際に実装しなければならないセキュリティコントロールのトップ 10 をリストしています。このセットは DevSecOps サイクルでコードを設計、記述、またはテストしなければならないときの出発点と考えてください。

また [OWASP ソフトウエアセキュリティ保証成熟度モデル (Software Assurance Maturity Model, SAMM)](https://owaspsamm.org/model/) にしたがって、成熟度に応じたセキュリティ要件 (およびその他) に対して考慮すべきことを確立することができます。

## パイプラインに追加するもの

![DevSecOps pipeline](/files/QR2ICgizZ9N36qJRhl94) 最初に、基本的なパイプラインに以下のステップを実装することを検討します。

* 潜在的なクレデンシャルの漏洩を発見するために git リポジトリをスキャンする
* SCA (ソフトウェアコンポジション解析)
* SAST (静的アプリケーションセキュリティテスト)
* IaC スキャン (Terraform, HelmChart コードをスキャンして設定ミスを発見する)
* IAST (インタラクティブアプリケーションセキュリティテスト)
* API セキュリティ
* DAST (動的アプリケーションセキュリティテスト)
* CNAPP (クラウドネイティブアプリケーション保護)
* インフラストラクチャスキャン
* 他のツールからの継続的なスキャン
* コンプライアンスチェック

ソフトウェア開発ライフサイクル (SDLC) やソフトウェアアーキテクチャにしたがってパイプラインのステップをカスタマイズし、始めていれば段階的に自動化を追加することができます。 たとえば SAST/DAST からセキュリティコントロールが組み込まれた通常のテストスイートに切り替えたり、既知の脆弱な依存関係をチェックする監査スクリプトを追加することができます。

CI/CD は SecOps にとって有利であり、セキュリティ対策やコントロールのための特権的なエントリポイントとなります。 ただし、CI/CD ツールを使用して自動化を行う場合にはツール自体が攻撃対象領域を拡大することがよくあることに注意します。そのため、ソフトウェアのビルド、デプロイメント、および自動化にセキュリティコントロールを配置します。

***

## 目次

* [0-概論 (Intro)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/0-Intro/README.md)
  * [0-1-序文 (Intro)](/owasp-devsecops-guideline-ja/v0.3/0-gai-lun-intro/0-1-intro.md)
  * [0-2-概要 (Overview)](/owasp-devsecops-guideline-ja/v0.3/0-gai-lun-intro/0-2-overview.md)
* [1-要員 (People)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/1-People/README.md)
  * [1-1-チーム形成 (Shape-the-team)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/1-People/1-1-Shape-the-team/README.md)
    * [1-1-1-セキュリティチャンピオン (Security-champions)](/owasp-devsecops-guideline-ja/v0.3/1-yao-yuan-people/1-1-chmu-shape-the-team/1-1-1-security-champions.md)
  * [1-2-トレーニング (Training)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/1-People/1-2-Training/README.md)
    * [1-2-1-セキュアコーディング (Secure-coding)](/owasp-devsecops-guideline-ja/v0.3/1-yao-yuan-people/1-2-torningu-training/1-2-1-secure-coding.md)
    * [1-2-2-セキュリティ CI/CD (Security-CICD)](/owasp-devsecops-guideline-ja/v0.3/1-yao-yuan-people/1-2-torningu-training/1-2-2-security-cicd.md)
* [2-プロセス (Process)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/2-Process/README.md)
  * [2-1-設計 (Design)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/2-Process/2-1-Design/README.md)
    * [2-1-1-脅威モデリング (Threat-modeling)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/21-she-ji-design/2-1-1-threat-modeling.md)
  * [2-2-開発 (Develop)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/2-Process/2-2-Develop/README.md)
    * [2-2-1-コミット前 (Pre-commit)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/2-Process/2-2-Develop/2-2-1-Pre-commit/README.md)
      * [2-2-1-1-プレコミット (Pre-commit)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/22-kai-fa-develop/2-2-1-komitto-pre-commit/2-2-1-1-pre-commit.md)
      * [2-2-1-2-シークレット管理 (Secrets-Management)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/22-kai-fa-develop/2-2-1-komitto-pre-commit/2-2-1-2-secrets-management.md)
      * [2-2-1-3-コードのリンティング (Linting-code)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/22-kai-fa-develop/2-2-1-komitto-pre-commit/2-2-1-3-linting-code.md)
      * [2-2-1-4-リポジトリ堅牢化 (Repository-Hardening)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/22-kai-fa-develop/2-2-1-komitto-pre-commit/2-2-1-4-repository-hardening.md)
  * [2-3-ビルド (Build)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/2-Process/2-3-Build/README.md)
    * [2-3-5-セキュリティゲート (Security-Gates)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-3-birudo-build/2-3-5-security-gates.md)
    * [2-3-1-静的解析 (Static-Analysis)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/2-Process/2-3-Build/2-3-1-Static-Analysis/README.md)
      * [2-3-1-1-静的アプリケーションセキュリティテスト (Static-Application-Security-Testing)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-3-birudo-build/231-jing-de-jie-xi-staticanalysis/2-3-1-1-static-application-security-testing.md)
    * [2-3-2-ソフトウェアコンポジション解析 (Software Composition Analysis)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/2-Process/2-3-Build/2-3-2-Software%20Composition%20Analysis/README.md)
      * [2-3-2-1-ソフトウェアコンポジション解析 (Software-Composition-Analysis)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-3-birudo-build/2-3-2-sofutoweakonpojishon-software-composition-analysis/2-3-2-1-software-composition-analysis.md)
    * [2-3-3-コンテナセキュリティ (Container-Security)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/2-Process/2-3-Build/2-3-3-Container-Security/README.md)
      * [2-3-3-1-コンテナスキャン (Container-Scanning)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-3-birudo-build/2-3-3-kontenasekyuriti-container-security/2-3-3-1-container-scanning.md)
      * [2-3-3-2-コンテナ堅牢化 (Container-Hardening)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-3-birudo-build/2-3-3-kontenasekyuriti-container-security/2-3-3-2-container-hardening.md)
    * [2-3-4-Infastructure as Code セキュリティ (Infrastructure as Code Security)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/2-Process/2-3-Build/2-3-4-Infrastructure%20as%20Code%20Security/README.md)
      * [2-3-1-3-Infastructure as Code スキャン (Infastructure-as-Code-Scanning)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-3-birudo-build/2-3-4-infastructure-as-code-sekyuriti-infrastructure-as-code-security/2-3-1-3-infastructure-as-code-scanning.md)
  * [2-4-テスト (Test)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/2-Process/2-4-Test/README.md)
    * [2-4-1-インタラクティブアプリケーションセキュリティテスト (Interactive-Application-Security-Testing)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-4-tesuto-test/2-4-1-interactive-application-security-testing.md)
    * [2-4-2-動的アプリケーションセキュリティテスト (Dynamic-Application-Security-Testing)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-4-tesuto-test/2-4-2-dynamic-application-security-testing.md)
    * [2-4-3-モバイルアプリケーションセキュリティテスト (Mobile-Application-Security-Test)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-4-tesuto-test/2-4-3-mobile-application-security-test.md)
    * [2-4-4-API セキュリティ (API-Security)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-4-tesuto-test/2-4-4-api-security.md)
    * [2-4-5-構成ミスチェック (Misconfiguration-Check)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-4-tesuto-test/2-4-5-misconfiguration-check.md)
  * [2-5-リリース (Release)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/2-Process/2-5-Release/README.md)
    * [2-5-1-リリース (Release)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-5-rirsu-release/2-5-1-release.md)
  * [2-6-デプロイ (Deploy)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/2-Process/2-6-Deploy/README.md)
    * [2-6-1-デプロイ (Deploy)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/2-6-depuroi-deploy/2-6-1-deploy.md)
  * [2-7-運用 (Operate)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/2-Process/2-7-Operate/README.md)
    * [2-7-1-クラウドネイティブセキュリティ (Cloud-Native-Security)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/27-yun-yong-operate/2-7-1-cloud-native-security.md)
    * [2-7-2-ログ記録と監視 (Logging-and-Monitoring)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/27-yun-yong-operate/2-7-2-logging-and-monitoring.md)
    * [2-7-3-ペンテスト (Pentest)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/27-yun-yong-operate/2-7-3-pentest.md)
    * [2-7-4-脆弱性管理 (Vulnerability-Management)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/27-yun-yong-operate/2-7-4-vulnerability-management.md)
    * [2-7-6-侵害と攻撃のシミュレーション (Breach-and-attack-simulation)](/owasp-devsecops-guideline-ja/v0.3/2-purosesu-process/27-yun-yong-operate/2-7-6-breach-and-attack-simulation.md)
* [3-ガバナンス (Governance)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/3-Governance/README.md)
  * [3-2-データ保護 (Data-protection)](/owasp-devsecops-guideline-ja/v0.3/3-gabanansu-governance/3-2-data-protection.md)
  * [3-1-コンプライアンス監査 (Compliance-Auditing)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/3-Governance/3-1-Compliance-Auditing/README.md)
    * [3-1-1-コンプライアンス監査 (Compliance-Auditing)](/owasp-devsecops-guideline-ja/v0.3/3-gabanansu-governance/3-1-konpuraiansu-compliance-auditing/3-1-1-compliance-auditing.md)
    * [3-1-2-Policy as Code (Policy-as-code)](/owasp-devsecops-guideline-ja/v0.3/3-gabanansu-governance/3-1-konpuraiansu-compliance-auditing/3-1-2-policy-as-code.md)
    * [3-1-3-セキュリティベンチマーク (Security-benchmarking)](/owasp-devsecops-guideline-ja/v0.3/3-gabanansu-governance/3-1-konpuraiansu-compliance-auditing/3-1-3-security-benchmarking.md)
  * [3-3-レポーティング (Reporting)](https://github.com/coky-t/owasp-devsecops-guideline-ja/blob/main/document/current-version/3-Governance/3-3-Reporting/README.md)
    * [3-3-1-成熟度追跡 (Tracking-maturities)](/owasp-devsecops-guideline-ja/v0.3/3-gabanansu-governance/3-3-reptingu-reporting/3-3-1-tracking-maturities.md)
    * [3-3-2-脆弱性一元管理ダッシュボード (Central-vulnerability-management-dashboard)](/owasp-devsecops-guideline-ja/v0.3/3-gabanansu-governance/3-3-reptingu-reporting/3-3-2-central-vulnerability-management-dashboard.md)

***

OWASP ウェブサイトのプロジェクトページは [OWASP DevSecOps Guideline Project](https://owasp.org/www-project-devsecops-guideline/) にあります


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://coky-t.gitbook.io/owasp-devsecops-guideline-ja/owasp-devsecops-gaidorain/document.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.