Upgrade to Pro — share decks privately, control downloads, hide ads and more …

sisakulint - codeblue 投影用

4su_para
November 15, 2024
110

sisakulint - codeblue 投影用

sisakulint is a CI-Friendly static linter with SAST, semantic analysis for GitHub Actions. This great tool can automatically validate yaml files according to the guidelines in the security-related documentation provided by GitHub! It also includes functionality as a static analysis tool that can check the policies of the guidelines that should be set for use in each organization. These checks also comply with the Top 10 CI/CD Security Risks provided by OWASP. It implements most of the functions that can automatically check whether a workflow that meets the security features supported by github has been built to reduce the risk of malicious code being injected into the CI/CD pipeline or credentials such as tokens being stolen. It does not support inspections that cannot be expressed in YAML and “repository level settings” that can be set by GitHub organization administrators. It is intended to be used mainly by software developers and security personnel at user companies who work in blue teams. It is easy to introduce because it can be installed from brew. It also implements an autofix function for errors related to security features as a lint. It supports the SARIF format, which is the output format for static analysis. This allows reviewdog to provide a rich UI for error triage on GitHub.

4su_para

November 15, 2024
Tweet

Transcript

  1. sisakulint @4su_para 2024/11/15 1 CODE BLUE 2024 Cyber TAMAGO CI-Friendly

    static linter with SAST, semantic analysis for GitHub Actions
  2. $ aws sts get-caller-indetity 2 CODE BLUE 2024 Cyber TAMAGO

    2024/11/15 • Atsushi, Sada , a.k.a. (asu_para) • 学士(工学) • 2022夏頃からエンジニアインターンとして キャリアスタート • Security Engineer(24卒)@ Fintech • PSIRTとして脆弱性診断の内製化や各種サー ビスのクラウドのアラート調査などに従事, 一 部コーポレートIT • 趣味:雑多な読書, のりもの関連 • Seccamp/SecHack365(修了生)
  3. Work でこんなことやってます 3 CODE BLUE 2024 Cyber TAMAGO 2024/11/15 ◦Log

    Analysis at Cloud Environment⭐⭐ pCSPM, フォレンジック(ログ分析) ◦Threat Modeling⭐⭐ pリスクアセスメントのお手伝い, 情報資産の整理 p対PT視点での仕組みづくりなどの対策 ◦脆弱性診断やPlatform診断⭐ pin house project, bug bounty triage ◦Corporate ITのお手伝い ⭐(CSIRT) pJamf, Intuneなどによる端末管理 TLP:RED
  4. 趣味(Hobby)でこんなことやってます 4 CODE BLUE 2024 Cyber TAMAGO 2024/11/15 ◦Research at

    Cloud Environment⭐⭐⭐ pScope : AWS, GitHub Ecosystem pクラウドのpurple teamingに関する研究調査などを行っている p例:aws, Datadogなどのドキュメント, BlackHat, DEFCON などの会議発表のインプット,構想, 着手してアウトプット pクラウドUGのかいたブログからのインプット pOSSのクラウド便利ツールの試作 ◦Study at Threat Intelligence⭐ pもともと興味があったため pこの前、初めて関連のハッカソンで開発したら賞金獲得したw
  5. そこで今回のsisakulintです 5 CODE BLUE 2024 Cyber TAMAGO 2024/11/15 sisakulint -

    CI-Friendly static linter with SAST, semantic analysis for GitHub Actions document
  6. 既存ツールとの差分 9 CODE BLUE 2024 Cyber TAMAGO 2024/11/15 ◦単に文法エラーや形式だけの検査をしているわけではない p内部実装として意味解析〜やクエリ処理〜の部分

    ◦クラウドなので使う立場に考えたガイドラインへの準拠 p各ユーザーのリテラシーに委ねられている部分 p利用者としてセキュリティチームが作るガイドライン
  7. Read Documents & Demo 10 CODE BLUE 2024 Cyber TAMAGO

    2024/11/15 https://sisakulint.github.io
  8. OutPut Format 11 CODE BLUE 2024 Cyber TAMAGO 2024/11/15 ◦Original

    Format ◦SARIF Format for reviewdog どうなる???
  9. SARIF output format for reviewdog 12 CODE BLUE 2024 Cyber

    TAMAGO 2024/11/15 Great! Rich UI on GitHub!!