Zenn
🛡️

DevSecOpsガイド作成と既存開発ドキュメントへの反映(開発日記 No.064)

に公開
ドキュメント
DevSecOps
開発日記
idea

関連リンク

はじめに

昨日は、AIエージェントとの協業を前提とした開発関連ドキュメント4点の洗練作業を行いました。今日はその流れを引き継ぎつつ、開発プロセスに「DevSecOps」の考え方を本格的に取り入れるための準備を進めることにしました。具体的には、DevSecOpsに関する新しいガイドを作成し、既存のドキュメントにもその観点を反映させる計画です。

背景と目的

開発を進める上で、セキュリティは初期段階から考慮すべき重要な要素です。開発(Dev)、セキュリティ(Sec)、運用(Ops)を統合し、開発ライフサイクル全体を通じてセキュリティを確保するDevSecOpsのアプローチを取り入れることで、より安全で信頼性の高いソフトウェア開発を目指します。今回の目的は、このDevSecOpsの考え方を開発チーム全体で共有し、実践するための基盤となるドキュメントを整備することです。

検討内容

実は、今日の作業を開始する際、AIエージェントとの間で少し面白いやり取りがありました。

当初、私は前日に作成した4つの開発関連ドキュメント(開発プロセスガイド、プロジェクト管理ガイド、Pytestベストプラクティス、品質ダッシュボードガイド)について、AIエージェントの主体性をさらに高める方向での修正、GitHub Flowに基づくブランチ戦略の明記、チケット駆動開発における粒度定義と振り返りの強化、といった点を指示しました。

AIエージェントは迅速にこれらの指示に対応し、各ドキュメントを修正してくれました。その内容は的確で、開発プロセス改善に繋がるものだったので、結果的にこの修正は採用することにしました。

しかし、これは本来今日やろうとしていたことではありませんでした。改めてAIエージェントに「今日の本当のテーマはDevSecOpsの導入準備だよ」と伝え、仕切り直すことに。具体的には、DevSecOpsの原則やプラクティスをまとめた新しいガイドを作成し、既存のドキュメントにもセキュリティの観点を盛り込むよう指示しました。

実装内容

AIエージェントに対して、以下の2つの作業を指示しました。

  1. DevSecOpsガイドの新規作成:
    • ファイルパス: Docs/dev-docs/devsecops_guide.md
    • 内容: DevSecOpsの基本原則、開発ライフサイクルへの統合方法、推奨されるプラクティス、利用するツールチェーンなどを包括的に記述する。
  2. 既存ドキュメントへのDevSecOps観点の反映:
    • 対象ファイル:
      • development_process_guide.md
      • project_management_guide.md
      • pytest_best_practices.md
      • quality_dashboard_guide.md
    • 反映内容例:
      • CI/CDパイプラインにおける静的/動的セキュリティスキャン (SAST/DAST) の組み込み手順。
      • コードレビュープロセスにおけるセキュリティチェックリストの導入。
      • セキュリティテスト(脆弱性診断、ペネトレーションテストなど)の計画と実施に関する記述。
      • 品質ダッシュボードにおけるセキュリティ関連メトリクスの追加。

現時点では、これらの指示をAIエージェントに伝えた段階であり、具体的なドキュメント作成や修正はこれから行われます。

技術的なポイント

DevSecOpsを開発プロセスに組み込む上で重要なのは、セキュリティを「後付け」ではなく「組み込み (Built-in)」にすることです。今回のドキュメント整備では、以下の点を意識しました。

  • プロセスの定義: 開発の各フェーズ(設計、実装、テスト、デプロイ、運用)で、どのようなセキュリティ活動を行うべきかを明確にする。
  • ツールの統合: セキュリティスキャンツールや依存関係チェックツールなどをCI/CDパイプラインに統合し、自動化する。
  • 文化の醸成: 開発者全員がセキュリティに対する意識を持ち、責任を分担する文化を作るためのガイドラインを示す。

これらのポイントをドキュメントに落とし込むことで、チーム全体でDevSecOpsを実践しやすくすることを目指します。

所感

AIエージェントとのやり取りで、当初の指示とは異なるものの、有益なドキュメント改善が進んだのは面白い経験でした。AIが文脈を読み取り、先回りして作業を進めてくれる可能性を感じました。一方で、明確な指示の重要性も再認識しました。

DevSecOpsの導入は、これからの開発において必須の取り組みだと考えています。開発初期からセキュリティを意識することで、手戻りを減らし、より堅牢なシステムを構築できるはずです。ドキュメント作成は地道な作業ですが、チーム全体の認識を統一し、スムーズな開発を進めるためには欠かせない投資だと感じています。特にAIエージェントと協業する上では、このようなガイドラインが共通言語として機能することが期待されます。

今後の課題

  • AIエージェントに指示したDevSecOpsガイドの具体的な内容を作成・レビューする。
  • 既存の4つの開発関連ドキュメントに、DevSecOpsの観点を具体的に追記・修正する。
  • 作成・修正したドキュメントが、互いに整合性が取れているかを確認する。

まとめ

本日は、開発体制にDevSecOpsの考え方を取り入れることを決定し、そのためのドキュメント整備計画を立てました。具体的には、新規にDevSecOpsガイドを作成し、既存の開発関連ドキュメントにもセキュリティの観点を反映させるよう、AIエージェントに指示しました。また、予期せぬ形で進んだドキュメント改善も採用し、AIエージェントとの協業における新たな可能性も感じられました。今後は、具体的なドキュメント作成・修正作業を進めていきます。

GitHubで編集を提案

Discussion