セキュリティ
DevSecOpsの説明として最も正しいものはどれか。
ア.セキュリティチームが開発・運用チームの承認なしにシステム変更を行える権限を持つ運用モデル
イ.開発(Dev)・セキュリティ(Sec)・運用(Ops)を統合し、CI/CDパイプラインにセキュリティ自動化を組み込むソフトウェア開発文化正解
ウ.セキュリティ専門家だけで構成するアジャイル開発手法
エ.脆弱性が見つかった際に開発を完全停止してセキュリティレビューを行う厳格なゲートプロセス
解説
DevSecOpsは「3人組バンドの合奏」みたいなもの。以前はDev(ギター)とOps(ドラム)の2人バンドにSec(ベース)を後から加えようとして音がズレた。DevSecOpsは最初から3人で練習して、セキュリティというベースラインを常にリズムに刻み込む。CI/CDパイプラインというリハーサルルームで毎回一緒に演奏!
なぜ イ が正解か
DevSecOpsの実践:①シフトレフト:セキュリティチェックをパイプラインの早期に実施②自動化ツール統合:SAST(SonarQube等)→コードステージ、依存関係スキャン(Snyk/Trivy)→ビルドステージ、DAST(OWASP ZAP等)→テストステージ③チームの「セキュリティ責任の民主化」:全員がセキュリティオーナー④Sec責任者はポリシー策定・教育・ツール選定に注力⑤継続的コンプライアンス(ポリシーをコードとして管理:OPA等)。DevOpsにセキュリティを第一級市民として組み込む文化変革。
出典: AI生成問題(学習用)