Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Continuous Vulnerability scanning on CircleCI

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for lorentzca lorentzca
August 27, 2018
Technology
3.2k
1

Continuous Vulnerability scanning on CircleCI

Vuls を CircleCI 上で動かしてみた話。

Avatar for lorentzca

lorentzca

August 27, 2018

More Decks by lorentzca

See All by lorentzca
入力した CIDR のネットワーク・アドレスを表示する Alfred ワークフローを作った
Avatar for lorentzca lorentzca
0
1.5k

Other Decks in Technology

See All in Technology
DevOpsDays Tokyo 2026 軽量な仕様書と新たなDORA AI ケイパビリティで実現する、動くソフトウェアを中心とした開発ライフサイクル / DevOpsDays Tokyo 2026
Avatar for Niishi Kubo n11sh1
0
120
新規サービス開発におけるReact Nativeのリアル〜技術選定の裏側と実践的OSS活用〜
Avatar for Takahiro Kato grandbig
2
190
OBI+APMでお手軽にアプリケーションのオブザーバビリティを手に入れよう
Avatar for Kenshi Muto kenshimuto
0
290
Introduction to Bill One Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
410
プロンプトエンジニアリングを超えて:自由と統制のあいだでつくる Platform × Context Engineering
Avatar for yuriemori yuriemori
0
190
AgentCore RuntimeからS3 Filesをマウントしてみる
Avatar for Har1101 har1101
4
440
ADOTで始めるサーバレスアーキテクチャのオブザーバビリティ
Avatar for Ryotaro Harada alchemy1115
3
290
明日からドヤれる!超マニアックなAWSセキュリティTips10連発 / 10 Ultra-Niche AWS Security Tips
Avatar for Yuji Oshima yuj1osm
0
410
聞き手の目線で考えるプロポーザル
Avatar for Takepepe takefumiyoshii
0
390
Zero-Downtime Migration: Moving a Massive, Historic iOS App from CocoaPods to SPM and Tuist without Stopping Feature Delivery
Avatar for kagemiku kagemiku
0
240
Digitization部 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
7.3k
Databricksを用いたセキュアなデータ基盤構築とAIプロダクトへの応用.pdf
Avatar for PKSHA Technology(パークシャテクノロジー) pkshadeck
PRO
0
320

Featured

See All Featured
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
430
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
1
670
First, design no harm
Avatar for Per Axbom axbom
PRO
2
1.2k
End of SEO as We Know It (SMX Advanced Version)
Avatar for Michael King ipullrank
3
4.1k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
1.9k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
Avatar for Szymon Słowik szymonslowik
1
1k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M
Ruling the World: When Life Gets Gamed
Avatar for Sebastian Deterding codingconduct
0
190
sira's awesome portfolio website redesign presentation
Avatar for ElsiraPls elsirapls
0
210
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.8k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k
Digital Ethics as a Driver of Design Innovation
Avatar for Per Axbom axbom
PRO
1
260

Transcript

  1. Continuous Vulnerability scanning on CircleCI @lorentzca

  2. Contents • 自己紹介 • CircleCI 上で Vuls を動かしてみた話

  3. About Me • 国島と申します • ID は lorentzca • Web

    インフラエンジニア -> サポートエンジニア • 主な趣味はキャンプ・釣 り・酒 • 最近自作キーボード沼 に入水しました • よろしくおねがいします

  4. CircleCI 上で Vuls を動かしてみた話

  5. CircleCI • コードのテストやデプロイを自動化してくれる サービス • 競合として Jenkins, Travis CI, Wercker

    等 • 継続的インテグレーション (CI: Continuous Integration)

  6. なぜそんなことを

  7. CircleCI 2.0 in 2017 • 好きな Docker Image を使える •

    Scheduling jobs (cron) を使える

  8. つまり…

  9. なんでもあり!!

  10. Vuls も CircleCI 上で動かせそう = 継続的脆弱性スキャンの実現

  11. 必要な Docker Image は公式で提供され ている • vuls/go-cve-dictionary • vuls/goval-dictionary •

    vuls/vuls • あとは CircleCI でうまくやるだけ

  12. CircleCI 2.0 の機能を駆使する

  13. Job の流れ

  14. Job 間での成果物の共有 • 成果物 (cve.sqlite3, oval.sqlite3) を workspaces に作成 •

    persist_to_workspace キーで成果物を保持 • 下流の job (vuls report 用 job) で attach_workspace キーを使い成果物を取得

  15. SSH 周り • CircleCI の add_ssh_keys の fingerprints キーを使うと .ssh

    以下に config と秘密鍵が追加される • vuls コマンドの -ssh-config オプションで上記 .ssh/config を読んで ssh してくれる • Are you sure you want to continue connecting (yes/no)? ◦ うるせえ! echo "StrictHostKeyChecking no" >> /root/.ssh/config して黙殺(雑)

  16. config.toml の取得 • Private Gist からダウンロードしてる • 他にもやり方はありそうだけど(リポジトリ内に置 いて checkout

    とか)、 Gist なら Web 上でささっ と編集できるので便利

  17. Job 間の順序依存 • workflows の requires キーで依存関係を定義 できる

  18. 定期的に実行する • workflows の schedule トリガーを使う • cron 形式で指定できる ◦

    UTC なので注意!コメントで JST の時間を 書いておくと日本人に優しい ☺

  19. github.com/lorentzca/vurcleci/.ci rcleci/config.yml

  20. 感想 • 個人用途であればこれで十分 ☺ • 無料嬉しい • 対象サーバが複数あるときつそう • いろいろ試行錯誤したことなどは別途ブログにもまとめる予

    定 ◦ blog.lorentzca.me

  21. ご清聴ありがとうございました

  22. おまけ

  23. 1台目の自作キーボード。 Planck という 40% キーボード。名前はセラス。

  24. 2台目の自作キーボード。同じく Planck 。名前はイリス。セラスは職場で使っていて、イリスは自宅 & 持ち運び用。