sisakulint - codeblue 投影用

Transcript

1. sisakulint @4su_para 2024/11/15 1 CODE BLUE 2024 Cyber TAMAGO CI-Friendly

   static linter with SAST, semantic analysis for GitHub Actions

2. $ aws sts get-caller-indetity 2 CODE BLUE 2024 Cyber TAMAGO

   2024/11/15 • Atsushi, Sada , a.k.a. （asu_para） • 学士（工学） • 2022夏頃からエンジニアインターンとして キャリアスタート • Security Engineer（24卒）@ Fintech • PSIRTとして脆弱性診断の内製化や各種サー ビスのクラウドのアラート調査などに従事, 一 部コーポレートIT • 趣味：雑多な読書, のりもの関連 • Seccamp/SecHack365（修了生）

3. Work でこんなことやってます 3 CODE BLUE 2024 Cyber TAMAGO 2024/11/15 ◦Log

   Analysis at Cloud Environment⭐⭐ pCSPM, フォレンジック（ログ分析） ◦Threat Modeling⭐⭐ pリスクアセスメントのお手伝い, 情報資産の整理 p対PT視点での仕組みづくりなどの対策 ◦脆弱性診断やPlatform診断⭐ pin house project, bug bounty triage ◦Corporate ITのお手伝い ⭐(CSIRT) pJamf, Intuneなどによる端末管理 TLP:RED

4. 趣味（Hobby）でこんなことやってます 4 CODE BLUE 2024 Cyber TAMAGO 2024/11/15 ◦Research at

   Cloud Environment⭐⭐⭐ pScope : AWS, GitHub Ecosystem pクラウドのpurple teamingに関する研究調査などを行っている p例：aws, Datadogなどのドキュメント, BlackHat, DEFCON などの会議発表のインプット,構想, 着手してアウトプット pクラウドUGのかいたブログからのインプット pOSSのクラウド便利ツールの試作 ◦Study at Threat Intelligence⭐ pもともと興味があったため pこの前、初めて関連のハッカソンで開発したら賞金獲得したw

5. そこで今回のsisakulintです 5 CODE BLUE 2024 Cyber TAMAGO 2024/11/15 sisakulint -

   CI-Friendly static linter with SAST, semantic analysis for GitHub Actions document

6. CI/CD？ 6 CODE BLUE 2024 Cyber TAMAGO 2024/11/15

7. Give Me Many Stars・・・ 7 CODE BLUE 2024 Cyber TAMAGO

   2024/11/15 GitHub repo

8. 様々な専門性の重なりからなるプロジェクト 8 CODE BLUE 2024 Cyber TAMAGO 2024/11/15

9. 既存ツールとの差分 9 CODE BLUE 2024 Cyber TAMAGO 2024/11/15 ◦単に文法エラーや形式だけの検査をしているわけではない p内部実装として意味解析〜やクエリ処理〜の部分

   ◦クラウドなので使う立場に考えたガイドラインへの準拠 p各ユーザーのリテラシーに委ねられている部分 p利用者としてセキュリティチームが作るガイドライン

10. Read Documents & Demo 10 CODE BLUE 2024 Cyber TAMAGO

    2024/11/15 https://sisakulint.github.io

11. OutPut Format 11 CODE BLUE 2024 Cyber TAMAGO 2024/11/15 ◦Original

    Format ◦SARIF Format for reviewdog どうなる？？？

12. SARIF output format for reviewdog 12 CODE BLUE 2024 Cyber

    TAMAGO 2024/11/15 Great! Rich UI on GitHub!!