Upgrade to Pro — share decks privately, control downloads, hide ads and more …

[re:Inforce2025振り返り勉強会]アプリケーションコードもIaCコードもまと...

[re:Inforce2025振り返り勉強会]アプリケーションコードもIaCコードもまとめてチェック! Amazon InspcetorのCode Securityを試してみる!

Avatar for 枡川健太郎

枡川健太郎

July 01, 2025
Tweet

More Decks by 枡川健太郎

Other Decks in Technology

Transcript

  1. • AWS re:Inforce 2025で発表されたAmazon Inspectorの新機能 • GitHubやGitLabなどのソースコード管理ツールと連携して利⽤する ◦ 実際にデプロイされる前にチェック可能! •

    下記3つの機能が含まれる ◦ SAST(Static Application Security Testing) ▪ アプリケーションコードを静的に解析して、脆弱性を検知 ◦ SCA (Software Composition Analysis) ▪ アプリケーションに含まれるOSSコンポーネントの脆弱性を検知 ◦ Infrastructure as code scanning ▪ IaCツールに含まれる脆弱な設定を検知 Amazon Inspector Code Securityとは?
  2. • EC2インスタンススキャン • ECRコンテナイメージスキャン • Lambda関数スキャン ◦ 標準スキャン ◦ コードスキャン

    • Code Security (Code repository scanning) Amazon Inspectorの機能⼀覧 ドキュメントを⾒る限り、Code Securityが正式名称 Code repository scanningが実態を表 している気がする
  3. Amazon Inspector Code Securityに現れる概念 • スキャンタイミング(スケジュール、 PR時など)とスキャン内容(SAST, SCA, IaC scan)を指定

    Configration • スキャン対象のリポジトリ • Integrationを利⽤、Configurationが 結びつく Code Repository • ソースコード管理ツールとの連携 • GitHubで⾔えば、GitHub Appそのも のだと思えば良い Integration • 検知された脆弱性 Finding
  4. Amazon Q Detector Library(1/2) Amazon Q Detector Library • Amazon

    Q Developerのレビュー機能や、Lambdaへのコードスキャンで も使われる。 • (恐らく) Code Securityもこちらを利⽤
  5. 対象ブランチに関する制約 > Amazon Inspector only scans and monitors your default

    branch. If you create a new default branch, Amazon Inspector scans and updates the new default branch. Creating an integration between Amazon Inspector and GitHub デフォルトブランチしか⾒ないのでブランチの運⽤次第では⾟いかも。 ※ 上記はGitHubでの設定ページに記載されていたものの、GitLabでもデフォルトブランチのみ の記載あり。 トランクベースとかGitHubフローの⽅が相性が良さそう。
  6. 料⾦ > 500 newly identified repositories, scanned one time at

    $0.15 for each scan type (SAST, IaC, SCA) = 500*$0.15*3 = $225 Amazon Inspector pricing まだドキュメントが完全に更新されていないようで、明確な記述は無し。 ただし、us-east-1ではスキャン⼀回あたり0.15USDになる記載あり。 弊社の別社員が書いたブログ記事の中で、請求から確認するとap-northeast-1では0.18USDだったそ う。 [アップデート] Amazon Inspector でアプリケーションと IaC コードの静的解析がサポートされました #AWSreInforce 恐らく、下記計算で求められる。 (リポジトリ数) × (スキャン回数) × (利⽤している機能の数) × 0.18(USD) ただし、10MBを超えるリポジトリは複数リポジトリ扱いになる。例えば100MBだと10個分の計算。
  7. まとめ • AWSだけでアプリケーションコードのスキャンもできるのが良い ◦ Snykなどを後から使いたくなってもSASTはアプリケーションに影響を与えず に移⾏しやすいし、スモールスタートできるのは⾮常にありがたい ▪ 特にリポジトリ数が少ない場合、全体から⾒たら無視できるコストにな る可能性が⾼い •

    PR作成時にチェックさせることが可能 ◦ シフトレフトの⽂脈ではあるが、PR作成時はそこまで早くない ◦ Q Developerのreview機能なども併⽤すると良さそう • デフォルトブランチしか対象に取れないことは注意が必要