Security has typically been done at the end of the development cycle if it’s done at all. This has all of the same side effects as testing quality just before shipping namely surfacing work and risk at the worst possible time. DevOps is forcing development teams to re-think their accountability. Not only are they responsible for functional quality but now they must also operationalize their software. I assert that they should also be accountable for security. Software written without security in mind opens a company up to brand damage and the costs associated with breaches. This will reflect directly on the teams that built the software.

How can DevOps teams add security to DevOps without losing velocity? In this session, Peter Chestna, Director of Developer Engagement, discusses how security is typically bolted on to the development process as well as the pressures on DevOps teams. He will then provide practical strategies to integrate security successfully into the SDLC while maintaining the velocity necessary to realize the benefits of DevOps.

What you will learn:      

  1. Why application security (AppSec) is important
  2. How AppSec is traditionally done
  3. How to do security in DevOps while maintaining velocity
  4. What to measure as leading indicators of success

Outline/Structure of the Talk

1. A brief discussion of application security and how they are the most prevalent vector to breaches

2. An overview of how AppSec is typically accomplished including the drawbacks

3. What and how to change the SDLC to embed security deeply into how we build and ship software

4. What to measure to know you are succeeding

Learning Outcome

This talk applies to all facets of the SDLC and will provide practical advice to start the journey to Secure DevOps. Specifically:

  1. Why application security (AppSec) is important
  2. How AppSec is traditionally done
  3. How to do security in DevOps while maintaining velocity
  4. What to measure as leading indicators of success

Target Audience

Anyone responsible for delivering software for their company from individual contributor to management.

schedule Submitted 3 years ago

Public Feedback

comment Suggest improvements to the Speaker

  • Liked Tsuyoshi Ushio

    Tsuyoshi Ushio - Value Stream Mapping で決めるリードタイム削減の魔法

    45 Mins

    DevOps を始める最初のステップとして、大変有効なValue Stream Mappingの具体的な進め方について解説いたします。Value Stream Mappingによって、皆さんのプロジェクトの無駄や、自動化可能箇所を発見、共有することができ、リードタイムの削減に大変貢献いたします。特に日本で必要なステップやステークホルダの巻き込み方、ファシリテートの仕方まで踏み込んで解説いたします。

     講演者は、Value Stream Mapping を多数実施した経験そして、第一人者のMary Poppendieck との共演で学んだこと、他国の動向も含めて楽しく解説していきたいと思います。


  • Liked Toshiyuki Ando

    Toshiyuki Ando / Mitsunori Seki - 開発環境もみんなでメンテ‼︎ DevOpsっぽい環境 on Azure をモブプログラミングで作ってみるよ

    45 Mins


    VSTSと、WebApps、Load Testを使って構築します。

    • GitHubにあるC#で作られたWebアプリケーションをビルド
    • WebAppsを使ったWebサイトをInfrastructure as Codeで構築
    • Webサイトにビルドしたアプリケーションをデプロイ
    • Webサイトに対して負荷テストを実施


    Hunter社のWoody Zuill氏らが作り上げた、全員が同じ時に、同じ場所で、同じコンピュータ上で仕事をするソフトウェア開発手法です。
    (モブプログラミング - Woody Zuill氏とのインタビュー より。一部改変)
    その様子については動画 A day of Mob Programming - YouTube が詳しいです。




    でも、それ、どうやんの? ってところで、モブプログラミングなんです。

  • Liked Alex Papadimoulis

    Alex Papadimoulis - DevOps for Japan

    Alex Papadimoulis
    Alex Papadimoulis
    President and Founder
    schedule 3 years ago
    Sold Out!
    45 Mins

    DevOps represents a simple idea: increase collaboration across teams while automating processes. Although the concept is relatively new to Japan, American IT organizations have been trying to implement DevOps in recent years: many have found success, while others have seen failure.

    One of main causes of failure is adopting the wrong culture. Although companies like Netflix and Etsy dominate the DevOps conversation, most enterprises do not have the same problems to solve, nor do they employee the same types of engineers. Thus simply, attempting to emulate Netflix will often yield failure.

    It’s similar in Japan; the culture of Japanese IT organizations are quite different from western companies, and attempting to emulate western DevOps practices will often result in failure and other setbacks.  Thus, in order to be successful with adopting DevOps practices, those practices must first be adapted for Japan.

    In this talk, I’ll compare and contrast the unique cultural differences in Japanese IT organizations and discuss how you can adopt DevOps practices that specifically address those.

  • Liked Yoshiaki Yoshida

    Yoshiaki Yoshida - 開発組織を変革し DevOps を組織に広めるためには「経営層を巻き込むこと」が最重要である

    20 Mins

    「DevOps を導入したい」

    「DevOps を導入するメリット」や「技術的負債と向き合わないといけない理由」が伝わりにくいのではないでしょうか?


    • なぜ開発組織を変革するために「経営層を巻き込むこと」が重要なのか?
    • どのようにして「技術的負債」を経営層に理解してもらうのか?
    • どのようにして「信頼残高」を増やすのか?

    そして DevOps の導入を最重要課題と位置付け,組織に広めるために実施したアクションとその成果を紹介します.

    • どのようにして DevOps を組織に広めるのか?
    • なぜウェブオペレーションの自動化が重要なのか?
    • なぜ数値の可視化と効果計測が重要なのか?

    DevOps のこと,技術的負債のこと,組織変革のことを一緒に考えませんか?

  • Liked Shotaro Suzuki

    Shotaro Suzuki - Hybrid CI/CD on Microsoft Azure Stack TP3

    45 Mins

    モダンなクラウドアプリケーション開発において重要なのは、ポータビリティです。そのために必要な技術要素として、PaaS、Serverless computing、Microservices、そして Hybrid Cloud 環境における Container などが挙げられます。特に Azure Stack の場合には、Hybrid Cloud 環境において DevOps を実践する場合の共通項等もそこには見出せます。 例えば、開発・テストを Public Cloud で行い、本番・ステージング環境としてオンプレミスに配置するというケースも多いでしょう(その逆ももちろんあり)。多国籍企業が、多くの法律や規制が異なる国々において、共通のグローバルアプリをデプロイする場合にも Hybrid Cloud は使えます。同時にデータの取り扱い、レイテンシー、等も考慮しないといけません。重要なビジネス価値を産むためにも、Public Cloud へのエッジを持たせるべきで、それが Hybrid Cloud です。

    一例として、Azure と Azure Stack では、全く同じようにアプリ開発と配置ができますし、Hybrid Cloud 環境でそのまま同じ DevOps のアプローチが可能です。それは同じアプリケーションモデル、セルフサービスポータル、そして、API があるためです。Visual Studio による統合された配置エクスペリエンスが可能で、Jenkins 等 OSS 及び Visual Studio (VSTS)による統合された CI/CD パイプラインもあります。また、OSS・商用いずれも多くのソフトウェアソリューションが購入可能なAzure Market Place は Azure Stack でも利用可能です:多数の Linux ディストリビューション、Docker コンテナ、Mesos、Cloud Foundry 等が順次 Azure Stack 上で稼働予定で、これにより可搬性に優れた OSS の PaaS アプリや膨大な開発・テスト環境を単一のサーバーに乗せることができます。

    TP3 が出たばかりの Azure Stack 上で、マイクロソフトの PaaS である Azure Web Apps、Mobile Apps、Container、そしてファミリー企業の製品である Pivotal Cloud Foundry 等を使い、CI/CD ツールと組み合わせた、Hybrid CI/CD の考え方とフローについて、デモをご紹介しながら進めて行きます。

  • Liked Shingo Kitayama

    Shingo Kitayama - バイモーダルITにおけるCI/CDを実現する組織とツール

    45 Mins