Kubernetesの設定ファイルをYAMLで記述する際、 kustomization.yaml によってリソース定義の集約等を行うことができるInfrastructure as Codeツール 環境ごとに共通化できる設定（base）、環境ごとの差分設定（overlays）を扱い、設定ファイルの記述を最低限にする 利用パターン Deployment等に指定するイメージを最新のバージョンで置きかえるようなケース > kustomize edit set image $BEFORE_IMAGE_NAME=$AFTER_IMAGE_NAME Kustomize - Kubernetes native configuration management

#Security "Unified Security Platform" を標榜する商用 SaaS（カテゴリは ASPM / Application Security Posture Management）。10 種類超のセキュリティスキャンを単一 UI に集約する スキャン対象: SAST / SCA / DAST / シークレット / IaC / コンテナ / CSPM / マルウェア / Code Quality / Outdated Software Terraform / CloudFormation / Kubernetes マニフェストの設定ミス検出にも対応 特徴 AutoFix / Bulk Fix で修正 PR を自動生成 AI Pentesting Agents による DAST 自動化（200+ エージェント） Aikido Intel - 依存パッケージのマルウェア検出 TL;DR Summary で脆弱性の要約と対応指針を提示 https://www.aikido.dev/

Helmfileは、Helmチャートをデプロイするための宣言的な仕様を提供するツールです。宣言的な構成管理はInfrastructure as Codeの実践であり、GitOpsワークフローに適し、複数のHelmリリースを効率的に管理することができます。 概要 Helmfileを使用することで、Kubernetes環境における複数のHelmチャートのデプロイメントを、YAMLファイルで宣言的に管理できます。これにより、環境ごとの設定の違いを明確にし、再現性の高いデプロイメントを実現します。 主な機能 複数のHelmリリースを一つのファイルで管理 環境ごとの値のオーバーライド リリース間の依存関係の定義 デプロイの差分確認（diff機能） https://helmfile.readthedocs.io/en/latest/ DevOps

2009年に10+ Deploys Per Day: Dev and Ops Cooperation at Flickrにて初めて登場した言葉 開発とオペレーションを一つのチーム内で両立させる 広義な用語ではあるが、共通して以下のような手法が定義されることが多い #Continuous Integration #Continuous Delivery Infrastructure as Code マイクロサービス

#Continuous Integration #Continuous Delivery HashiCorp 製の Infrastructure as Code ツール。API を宣言的な設定ファイルにコード化し、インフラの作成・変更・バージョン管理を安全かつ予測可能に行う provider がクラウド / SaaS の API を抽象化し、低レベル（compute / storage / network）から高レベル（DNS・SaaS 機能）まで同じ記法で扱う 設定は HCL で記述し、現状を state ファイルで追跡。write → plan → apply のワークフローで plan が適用前の差分を提示する 2023-08 にライセンスを MPL 2.0 → BUSL 1.1（source-available の非 OSS）へ変更 https://developer.hashicorp.com/terraform

#Security OWASP Incubating Project の開発者向け統合セキュリティプラットフォーム。AGPL-3.0、Go + PostgreSQL 実装 シークレットスキャン / SAST / SCA / IaC / コンテナスキャン / ライセンスチェックを単一 CLI に統合し、サプライチェーン攻撃 対策まで含めて開発ワークフローに組み込む 主な機能 標準準拠スキャナ（Trivy / Grype / Semgrep）の出力を取り込み CVSS + EPSS + component depth に基づくリスク優先順位付け SBOM / VEX のライブ管理、依存パッケージの Dependency Firewall（npm / Go / Python） OPA/Rego によるポリシー強制、GitHub / GitLab / Jira との双方向同期 オープン標準（SBOM / VEX / SARIF / SLSA / in-toto）を中核に据える https://devguard.org/ https://github.com/l3montree-dev/devguard

Platform Engineering #Team Organization 井上翔太（MIXI）による、一人 SRE が小規模から Platform Engineering を実践した経験報告（クラウドネイティブ会議, 2026）。「Platform Engineering は大規模チームの専売特許ではない」と説く アプリエンジニア→SRE→PE と段階的に守備範囲を広げた実践録 Platform as Code（Terraform / IaC）、AI 付き Slack bot によるセルフサービス権限管理、Golden Path 改善、Workload Identity 導入 制約はリソース不足と設計の相談相手不在。AI が一人実践のイネーブラーになった https://speakerdeck.com/syossan27/ren-sregabu-ndaplatform-engineeringsumorusutatoshi-jian-lu-kuraudoneiteibuhui-yi-ban

Dockerにおいてイメージの構成を記述するファイル IaCとして機能する https://docs.docker.jp/engine/reference/builder.html

#Continuous Integration リポジトリ設定を policy-as-code で組織横断に宣言・適用する GitHub App（Probot ベース）。admin リポジトリに設定を集中管理し、各 repo の実設定を GitHub API 経由で宣言状態へ収束させる、repo 設定版の Infrastructure as Code。Platform Engineering の guardrails 実装の一つ 設定は admin repo の 3 階層（.github/settings.yml=org / suborgs/*.yml / repos/*.yml）で各 repo にマージ適用、優先度は repo > suborg > org full sync（CRON）で drift を検出・修正、PR では nop モードで dry-run 差分を提示 管理対象は GitHub API で扱う設定のみ（branch protection / labels / collaborators / teams / topics / custom properties / environments / rulesets 等）。ファイル内容は扱えず .github/workflows/*.yml の配布はできない（GitHub Actions の強制は ruleset / required workflows 経由） Organization 専用で個人アカウントでは動かない https://github.com/github/safe-settings

#Software Design #Cloud Native #Security/Authentication #Security/Authorization The Twelve-Factor Appを現代のクラウドネイティブ環境向けに拡張した方法論。Kevin Hoffmanによって著され、オリジナルの12要因を15要因に拡張している。 追加された3つの新要因 2. API First - サービス設計において、実装前にAPIインターフェースを定義し契約駆動開発を促進 #API Architecture 14. Telemetry - メトリクス、ログ、トレースの収集を通じた包括的な監視機能 #Observability 15. Authentication and Authorization - 認証・認可をアプリケーション設計の第一級の関心事として組み込む Authentication / Authorization 既存要因の改訂 Kubernetes ConfigMap/Secretsなどコンテナ時代の設定管理や、Infrastructure as Code（IaC）による環境構築など、現代的なベストプラクティスを反映した注釈が追加されている。 https://www.vmware.com/docs/ebook-beyond-the-12-factor-app

#Security #Cloud Native #Continuous Integration コンテナイメージ、Kubernetes、IaC、リポジトリを対象とした包括的な脆弱性・設定ミス・シークレットスキャナー Aqua Securityによって開発されたオープンソースツール 主な機能: 脆弱性スキャン - コンテナイメージ、ファイルシステム、gitリポジトリ IaC設定ミス検出 - Dockerfile、Kubernetesマニフェスト、Terraformなど シークレット検出 - APIキー、パスワード等の機密情報 SBOM生成 - ソフトウェア部品表の作成と検出 ライセンススキャン DevSecOpsのシフトレフトセキュリティを実現し、CI/#Continuous Deliveryパイプラインに統合可能 SASTツールの一種として静的解析を実行する。--format sarif で SARIF 出力に対応し GitHub Code Scanning に取り込める https://trivy.dev/ https://github.com/aquasecurity/trivy