Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
日々の開発フローにプラスする GitHub Actions ~ セキュリティ対策を取り込む
Search
Kazumi OHIRA
December 06, 2022
Technology
2
210
日々の開発フローにプラスする GitHub Actions ~ セキュリティ対策を取り込む
Go fast and robust with GitHub 第一弾でお話したセッション資料です。
https://micug.jp/event/gofastandrobustwithgithub/
Kazumi OHIRA
December 06, 2022
Tweet
Share
More Decks by Kazumi OHIRA
See All by Kazumi OHIRA
【再】#2 GitHub Copilot Enterprise&GitHub Actionsナレッジ オープニング資料
dzeyelid
0
110
GitHub最新情報キャッチアップ 2024年3月
dzeyelid
17
5.7k
GitHub dockyardコミュニティ 竣工イベント!オープニング資料
dzeyelid
0
320
地味だけど劇的に便利になるGitHubリポジトリ設定あれこれ
dzeyelid
1
2.6k
GitHub最新情報キャッチアップ 2023年6月
dzeyelid
2
3.4k
GitHub と Azure でアプリケーションとインフラストラクチャの守りを固めるDevSecOps
dzeyelid
1
250
高さ比べじゃない、キャリアは歩んできた道
dzeyelid
0
600
GitHub Copilotとともに次の開発体験へ
dzeyelid
1
410
突如登場したAzure Developer CLIでなにができるのか?検証してみる
dzeyelid
0
140
Other Decks in Technology
See All in Technology
Liquid AI Hackathon Tokyo プレゼン資料
aratako
0
120
OAuthからOIDCへ ― 認可の仕組みが認証に拡張されるまで
yamatai1212
0
140
衛星画像超解像化によって実現する2D, 3D空間情報の即時生成と“AI as a Service”/ Real-time generation spatial data enabled_by satellite image super-resolution
lehupa
0
190
Introdução a Service Mesh usando o Istio
aeciopires
1
240
今この時代に技術とどう向き合うべきか
gree_tech
PRO
2
2.1k
AWS Control Tower に学ぶ! IAM Identity Center 権限設計の第一歩 / IAM Identity Center with Control Tower
y___u
1
260
Databricks AI/BI Genie の「値ディクショナリー」をAmazonの奥地(S3)まで見に行く
kameitomohiro
1
330
なぜAWSを活かしきれないのか?技術と組織への処方箋
nrinetcom
PRO
5
1k
ニッポンの人に知ってもらいたいGISスポット
sakaik
0
180
AI Agent Dojo #2 watsonx Orchestrateフローの作成
oniak3ibm
PRO
0
130
Digitization部 紹介資料
sansan33
PRO
1
5.6k
データ戦略部門 紹介資料
sansan33
PRO
1
3.8k
Featured
See All Featured
Making the Leap to Tech Lead
cromwellryan
135
9.6k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
630
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
359
30k
Become a Pro
speakerdeck
PRO
29
5.6k
What's in a price? How to price your products and services
michaelherold
246
12k
KATA
mclloyd
PRO
32
15k
Designing for Performance
lara
610
69k
Fireside Chat
paigeccino
40
3.7k
Learning to Love Humans: Emotional Interface Design
aarron
274
41k
Speed Design
sergeychernyshev
32
1.2k
What’s in a name? Adding method to the madness
productmarketing
PRO
24
3.7k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Transcript
日々の開発フローにプラスする GitHub Actions ~ セキュリティ対策を取り込む Go fast and robust with
GitHub 第一弾
岩永かづみ / Kazumi IWANAGA • Microsoft MVP for Azure •
ZEN Architects 所属 • GitHub公認トレーナー • 得意な領域 • Infrastructure as Code • GitHub Actions による自動化 • 技術コミュニティ • Code Polaris / Hack Everything. • @dz_ • @dzeyelid • @dzeyelid
業務における開発フロー
開発フロー • GitHubフローをベースに、プルリクエストを用いてレビューを受けて マージ 実装 プルリクエスト作成 レビュー マージ
開発フロー 実装 プルリクエスト作成 レビュー マージ 人によるレビュー
開発フローに CI/CD を加える
開発フロー 実装 プルリクエスト作成 レビュー マージ 人によるレビュー
開発フローに機械的なチェックをプラス 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー
開発フローに機械的なチェックをプラス 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー CI/CD
開発フローに機械的なチェックをプラス 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー CI/CD GitHub Actions
GitHub Actions で CI/CD を構成する
GitHub Actions • 自動化のためのワークフローを作成できる • プルリクエスト作成・編集時をはじめ、様々な契機で発動できる • 自作、またはオープンソースで公開される"アクション"を利用できる • Marketplace
の他、各々のリポジトリを参照可能 • GitHub-hosted または Self-hosted ランナーを利用できる • GitHub-hosted ランナー • Ubuntu, Windows, MacOS • 最近は、より大きいコア数を搭載したランナーも登場
GitHub Actions
GitHub Actions のいいところ • GitHub の各機能との連携がシームレス • とくにプルリクエストと密に連携でき、既存の開発フローに取り込める • 無料利用枠が多い
• 後述のセキュリティ対策と相性が良い • GitHub Actions Importerで他のプラットフォームから移行も対応 • 参考: Automating migration with GitHub Actions Importer - GitHub Docs
開発フローにセキュリティ対策を 加える
開発フロー 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー CI/CD GitHub Actions
開発フローにセキュリティ対策をプラス 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー CI/CD GitHub Actions
セキュリティ対策
GitHub でできるセキュリティ対策 依存パッケージに潜む脆弱性の検出・対策 シークレットの混入を検出 コードの静的解析
GitHub でできるセキュリティ対策 "Dependabot" と Dependency review Secret scanning Code scanning
"Dependabot" • リポジトリ(デフォルトブランチ)に含まれるパッケージの依存関係を 解析し、脆弱性の検出や修正の提案を行ってくれる機能群 • 脆弱性の情報は GitHub Advisory Database を参照する(更新
も追随) 機能 説明 Dependabot alerts 依存関係にあるパッケージに脆弱性が検出された場合にア ラートを通知する Dependabot security updates Dependabot alerts で検出された脆弱性に対して、コード の修正をプルリクエストとして提案してくれる Dependabot version updates 依存関係にあるパッケージのバージョンにアップデートがあ る場合に、更新をプルリクエストとして提案してくれる
Dependabot alerts
Dependabot alerts 詳細ページ
Dependabot によるプルリクエストの様子 Dependabot security updates Dependabot version updates
Dependabot security updates
Dependabot version updates
Dependency review • 依存関係内の脆弱性を検出する機能が、GitHub Actions のアク ション actions/dependency-review-action として提供されてい る
• Dependency Review · Actions · GitHub Marketplace 機能 説明 Dependabot alerts (前述) Dependabot alerts は、リポジトリのデフォルトブランチに対する依存関 係が対象なので、マージしないと検出できない Dependency review GitHub Actions で利用できるので、プルリクエストなどの時点でも依存 関係のチェックを行える
Dependency review
Secret scanning • GitHubリポジトリ上の全てのブランチと履歴に対しスキャンを行い、 シークレットの混入を検出してくれる機能 シークレットの種類 説明 パートナープロバイダのパターン パートナープロバイダが発行しているトークンやキーなどのシーク レットパターン(現在、66プロバイダ)
参考: Supported secrets for partner patterns - GitHub Docs カスタムパターン 独自のパターンを定義できる(GitHub Advanced Security が必要(後述)) 参考: Defining custom patterns for secret scanning - GitHub Enterprise Cloud Docs
Code scanning • GitHubリポジトリ上のコードに対する脆弱性を検出・管理できる機能 • GitHub が提供する CodeQL を用いて解析 •
GitHub Actions を利用して容易に導入できる • 各種言語に応じた汎用的なクエリが用意されている、カスタマイズも可能 • 参考: About code scanning with CodeQL - GitHub Docs • サードパーティ製の静的解析ツールであっても、SARIF形式のレポー トで出力できれば、統合して利用できる
Code scanning のレポート一覧
Code scanning のレポート 参考: About code scanning alerts - GitHub
Docs
Code scanning のレポート(tfsec)
GitHub セキュリティ関連機能の対応 機能 Public リポ Private リポ(GHASなし) Private リポ(GHASあり) Dependabot
alerts 〇 〇 〇 Dependabot security updates 〇 〇 〇 Dependabot version updates 〇 〇 〇 Dependency review 〇 × 〇 Secret scanning 〇 × 〇 + カスタマイズ Code scanning 〇 × 〇
GitHub セキュリティ関連機能の対応 機能 Public リポ Private リポ(GHASなし) Private リポ(GHASあり) Dependabot
alerts 〇 〇 〇 Dependabot security updates 〇 〇 〇 Dependabot version updates 〇 〇 〇 Dependency review 〇 × 〇 Secret scanning 〇 × 〇 + カスタマイズ Code scanning 〇 × 〇 GitHub Advanced Security のライセンスを導入すれば、 Private リポジトリでも利用可能
GitHub Advanced Security • GitHub Enterprise Cloud または Server に対して付与できるセ
キュリティライセンス • Privateリポジトリに対しても、下記を利用できる • Dependency review • Secret scanning (パートナーパターンに加え、カスタマイズにも対応) • Code scanning
開発フローにプラスしていく
開発フローにプラスしていく 便利も、安心も
dzeyelid
.jpg){kind=avatar}
aratako
yamatai1212
lehupa
aeciopires
gree_tech
y___u
kameitomohiro
nrinetcom
sakaik
oniak3ibm
sansan33
cromwellryan
bluesmoon
bermonpainter
speakerdeck
michaelherold
mclloyd
lara
paigeccino
aarron
sergeychernyshev
productmarketing
afnizarnur
