Upgrade to Pro — share decks privately, control downloads, hide ads and more …

日々の開発フローにプラスする GitHub Actions ~ セキュリティ対策を取り込む

Avatar for Kazumi OHIRA Kazumi OHIRA
December 06, 2022
Technology
2
200

日々の開発フローにプラスする GitHub Actions ~ セキュリティ対策を取り込む

Go fast and robust with GitHub 第一弾でお話したセッション資料です。
https://micug.jp/event/gofastandrobustwithgithub/
Avatar for Kazumi OHIRA

Kazumi OHIRA

December 06, 2022
Tweet

More Decks by Kazumi OHIRA

See All by Kazumi OHIRA
【再】#2 GitHub Copilot Enterprise&GitHub Actionsナレッジ オープニング資料
Avatar for Kazumi OHIRA dzeyelid
0
96
GitHub最新情報キャッチアップ 2024年3月
Avatar for Kazumi OHIRA dzeyelid
17
5.6k
GitHub dockyardコミュニティ 竣工イベント!オープニング資料
Avatar for Kazumi OHIRA dzeyelid
0
300
地味だけど劇的に便利になるGitHubリポジトリ設定あれこれ
Avatar for Kazumi OHIRA dzeyelid
1
2.4k
GitHub最新情報キャッチアップ 2023年6月
Avatar for Kazumi OHIRA dzeyelid
2
3.2k
GitHub と Azure でアプリケーションとインフラストラクチャの守りを固めるDevSecOps
Avatar for Kazumi OHIRA dzeyelid
1
230
高さ比べじゃない、キャリアは歩んできた道
Avatar for Kazumi OHIRA dzeyelid
0
580
GitHub Copilotとともに次の開発体験へ
Avatar for Kazumi OHIRA dzeyelid
1
380
突如登場したAzure Developer CLIでなにができるのか?検証してみる
Avatar for Kazumi OHIRA dzeyelid
0
120

Other Decks in Technology

See All in Technology
生成AIで小説を書くためにプロンプトの制約や原則について学ぶ / prompt-engineering-for-ai-fiction
Avatar for nwiizo nwiizo
3
710
20250623 Findy Lunch LT Brown
Avatar for Brown 3150
0
840
Witchcraft for Memory
Avatar for pocke pocke
1
210
OpenHands🤲にContributeしてみた
Avatar for kotauchisunsun kotauchisunsun
1
390
250627 関西Ruby会議08 前夜祭 RejectKaigi「DJ on Ruby Ver.0.1」
Avatar for Masaya Kudo msykd
PRO
2
220
Navigation3でViewModelにデータを渡す方法
Avatar for mikan mikanichinose
0
220
Кто отправит outbox? Валентин Удальцов, автор канала Пых
Avatar for Lamoda Tech lamodatech
0
330
Welcome to the LLM Club
Avatar for Koichi ITO koic
0
160
CI/CD/IaC 久々に0から環境を作ったらこうなりました
Avatar for Kaz Watanabe kaz29
1
150
Oracle Cloud Infrastructure:2025年6月度サービス・アップデート
Avatar for oracle4engineer oracle4engineer
PRO
2
200
製造業からパッケージ製品まで、あらゆる領域をカバー!生成AIを利用したテストシナリオ生成 / 20250627 Suguru Ishii
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
120
ひとり情シスなCTOがLLMと始めるオペレーション最適化 / CTO's LLM-Powered Ops
Avatar for Mitsuki Ogasahara yamitzky
0
420

Featured

See All Featured
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
337
57k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
28
3.8k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
130
19k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
161
15k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
81
9k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
246
12k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
107
19k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
270
20k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
2.9k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
138
34k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
47
14k

Transcript

  1. 日々の開発フローにプラスする GitHub Actions ~ セキュリティ対策を取り込む Go fast and robust with

    GitHub 第一弾

  2. 岩永かづみ / Kazumi IWANAGA • Microsoft MVP for Azure •

    ZEN Architects 所属 • GitHub公認トレーナー • 得意な領域 • Infrastructure as Code • GitHub Actions による自動化 • 技術コミュニティ • Code Polaris / Hack Everything. • @dz_ • @dzeyelid • @dzeyelid

  3. 業務における開発フロー

  4. 開発フロー • GitHubフローをベースに、プルリクエストを用いてレビューを受けて マージ 実装 プルリクエスト作成 レビュー マージ

  5. 開発フロー 実装 プルリクエスト作成 レビュー マージ 人によるレビュー

  6. 開発フローに CI/CD を加える

  7. 開発フロー 実装 プルリクエスト作成 レビュー マージ 人によるレビュー

  8. 開発フローに機械的なチェックをプラス 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー

  9. 開発フローに機械的なチェックをプラス 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー CI/CD

  10. 開発フローに機械的なチェックをプラス 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー CI/CD GitHub Actions

  11. GitHub Actions で CI/CD を構成する

  12. GitHub Actions • 自動化のためのワークフローを作成できる • プルリクエスト作成・編集時をはじめ、様々な契機で発動できる • 自作、またはオープンソースで公開される"アクション"を利用できる • Marketplace

    の他、各々のリポジトリを参照可能 • GitHub-hosted または Self-hosted ランナーを利用できる • GitHub-hosted ランナー • Ubuntu, Windows, MacOS • 最近は、より大きいコア数を搭載したランナーも登場

  13. GitHub Actions

  14. GitHub Actions のいいところ • GitHub の各機能との連携がシームレス • とくにプルリクエストと密に連携でき、既存の開発フローに取り込める • 無料利用枠が多い

    • 後述のセキュリティ対策と相性が良い • GitHub Actions Importerで他のプラットフォームから移行も対応 • 参考: Automating migration with GitHub Actions Importer - GitHub Docs

  15. 開発フローにセキュリティ対策を 加える

  16. 開発フロー 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー CI/CD GitHub Actions

  17. 開発フローにセキュリティ対策をプラス 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー CI/CD GitHub Actions

    セキュリティ対策

  18. GitHub でできるセキュリティ対策 依存パッケージに潜む脆弱性の検出・対策 シークレットの混入を検出 コードの静的解析

  19. GitHub でできるセキュリティ対策 "Dependabot" と Dependency review Secret scanning Code scanning

  20. "Dependabot" • リポジトリ(デフォルトブランチ)に含まれるパッケージの依存関係を 解析し、脆弱性の検出や修正の提案を行ってくれる機能群 • 脆弱性の情報は GitHub Advisory Database を参照する(更新

    も追随) 機能 説明 Dependabot alerts 依存関係にあるパッケージに脆弱性が検出された場合にア ラートを通知する Dependabot security updates Dependabot alerts で検出された脆弱性に対して、コード の修正をプルリクエストとして提案してくれる Dependabot version updates 依存関係にあるパッケージのバージョンにアップデートがあ る場合に、更新をプルリクエストとして提案してくれる

  21. Dependabot alerts

  22. Dependabot alerts 詳細ページ

  23. Dependabot によるプルリクエストの様子 Dependabot security updates Dependabot version updates

  24. Dependabot security updates

  25. Dependabot version updates

  26. Dependency review • 依存関係内の脆弱性を検出する機能が、GitHub Actions のアク ション actions/dependency-review-action として提供されてい る

    • Dependency Review · Actions · GitHub Marketplace 機能 説明 Dependabot alerts (前述) Dependabot alerts は、リポジトリのデフォルトブランチに対する依存関 係が対象なので、マージしないと検出できない Dependency review GitHub Actions で利用できるので、プルリクエストなどの時点でも依存 関係のチェックを行える

  27. Dependency review

  28. Secret scanning • GitHubリポジトリ上の全てのブランチと履歴に対しスキャンを行い、 シークレットの混入を検出してくれる機能 シークレットの種類 説明 パートナープロバイダのパターン パートナープロバイダが発行しているトークンやキーなどのシーク レットパターン(現在、66プロバイダ)

    参考: Supported secrets for partner patterns - GitHub Docs カスタムパターン 独自のパターンを定義できる(GitHub Advanced Security が必要(後述)) 参考: Defining custom patterns for secret scanning - GitHub Enterprise Cloud Docs

  29. Code scanning • GitHubリポジトリ上のコードに対する脆弱性を検出・管理できる機能 • GitHub が提供する CodeQL を用いて解析 •

    GitHub Actions を利用して容易に導入できる • 各種言語に応じた汎用的なクエリが用意されている、カスタマイズも可能 • 参考: About code scanning with CodeQL - GitHub Docs • サードパーティ製の静的解析ツールであっても、SARIF形式のレポー トで出力できれば、統合して利用できる

  30. Code scanning のレポート一覧

  31. Code scanning のレポート 参考: About code scanning alerts - GitHub

    Docs

  32. Code scanning のレポート(tfsec)

  33. GitHub セキュリティ関連機能の対応 機能 Public リポ Private リポ(GHASなし) Private リポ(GHASあり) Dependabot

    alerts 〇 〇 〇 Dependabot security updates 〇 〇 〇 Dependabot version updates 〇 〇 〇 Dependency review 〇 × 〇 Secret scanning 〇 × 〇 + カスタマイズ Code scanning 〇 × 〇

  34. GitHub セキュリティ関連機能の対応 機能 Public リポ Private リポ(GHASなし) Private リポ(GHASあり) Dependabot

    alerts 〇 〇 〇 Dependabot security updates 〇 〇 〇 Dependabot version updates 〇 〇 〇 Dependency review 〇 × 〇 Secret scanning 〇 × 〇 + カスタマイズ Code scanning 〇 × 〇 GitHub Advanced Security のライセンスを導入すれば、 Private リポジトリでも利用可能

  35. GitHub Advanced Security • GitHub Enterprise Cloud または Server に対して付与できるセ

    キュリティライセンス • Privateリポジトリに対しても、下記を利用できる • Dependency review • Secret scanning (パートナーパターンに加え、カスタマイズにも対応) • Code scanning

  36. 開発フローにプラスしていく

  37. 開発フローにプラスしていく 便利も、安心も