Slide 1

Slide 1 text

日々の開発フローにプラスする GitHub Actions ~ セキュリティ対策を取り込む Go fast and robust with GitHub 第一弾

Slide 2

Slide 2 text

岩永かづみ / Kazumi IWANAGA • Microsoft MVP for Azure • ZEN Architects 所属 • GitHub公認トレーナー • 得意な領域 • Infrastructure as Code • GitHub Actions による自動化 • 技術コミュニティ • Code Polaris / Hack Everything. • @dz_ • @dzeyelid • @dzeyelid

Slide 3

Slide 3 text

業務における開発フロー

Slide 4

Slide 4 text

開発フロー • GitHubフローをベースに、プルリクエストを用いてレビューを受けて マージ 実装 プルリクエスト作成 レビュー マージ

Slide 5

Slide 5 text

開発フロー 実装 プルリクエスト作成 レビュー マージ 人によるレビュー

Slide 6

Slide 6 text

開発フローに CI/CD を加える

Slide 7

Slide 7 text

開発フロー 実装 プルリクエスト作成 レビュー マージ 人によるレビュー

Slide 8

Slide 8 text

開発フローに機械的なチェックをプラス 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー

Slide 9

Slide 9 text

開発フローに機械的なチェックをプラス 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー CI/CD

Slide 10

Slide 10 text

開発フローに機械的なチェックをプラス 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー CI/CD GitHub Actions

Slide 11

Slide 11 text

GitHub Actions で CI/CD を構成する

Slide 12

Slide 12 text

GitHub Actions • 自動化のためのワークフローを作成できる • プルリクエスト作成・編集時をはじめ、様々な契機で発動できる • 自作、またはオープンソースで公開される"アクション"を利用できる • Marketplace の他、各々のリポジトリを参照可能 • GitHub-hosted または Self-hosted ランナーを利用できる • GitHub-hosted ランナー • Ubuntu, Windows, MacOS • 最近は、より大きいコア数を搭載したランナーも登場

Slide 13

Slide 13 text

GitHub Actions

Slide 14

Slide 14 text

GitHub Actions のいいところ • GitHub の各機能との連携がシームレス • とくにプルリクエストと密に連携でき、既存の開発フローに取り込める • 無料利用枠が多い • 後述のセキュリティ対策と相性が良い • GitHub Actions Importerで他のプラットフォームから移行も対応 • 参考: Automating migration with GitHub Actions Importer - GitHub Docs

Slide 15

Slide 15 text

開発フローにセキュリティ対策を 加える

Slide 16

Slide 16 text

開発フロー 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー CI/CD GitHub Actions

Slide 17

Slide 17 text

開発フローにセキュリティ対策をプラス 実装 プルリクエスト作成 レビュー マージ 人によるレビュー 機械によるレビュー CI/CD GitHub Actions セキュリティ対策

Slide 18

Slide 18 text

GitHub でできるセキュリティ対策 依存パッケージに潜む脆弱性の検出・対策 シークレットの混入を検出 コードの静的解析

Slide 19

Slide 19 text

GitHub でできるセキュリティ対策 "Dependabot" と Dependency review Secret scanning Code scanning

Slide 20

Slide 20 text

"Dependabot" • リポジトリ(デフォルトブランチ)に含まれるパッケージの依存関係を 解析し、脆弱性の検出や修正の提案を行ってくれる機能群 • 脆弱性の情報は GitHub Advisory Database を参照する(更新 も追随) 機能 説明 Dependabot alerts 依存関係にあるパッケージに脆弱性が検出された場合にア ラートを通知する Dependabot security updates Dependabot alerts で検出された脆弱性に対して、コード の修正をプルリクエストとして提案してくれる Dependabot version updates 依存関係にあるパッケージのバージョンにアップデートがあ る場合に、更新をプルリクエストとして提案してくれる

Slide 21

Slide 21 text

Dependabot alerts

Slide 22

Slide 22 text

Dependabot alerts 詳細ページ

Slide 23

Slide 23 text

Dependabot によるプルリクエストの様子 Dependabot security updates Dependabot version updates

Slide 24

Slide 24 text

Dependabot security updates

Slide 25

Slide 25 text

Dependabot version updates

Slide 26

Slide 26 text

Dependency review • 依存関係内の脆弱性を検出する機能が、GitHub Actions のアク ション actions/dependency-review-action として提供されてい る • Dependency Review · Actions · GitHub Marketplace 機能 説明 Dependabot alerts (前述) Dependabot alerts は、リポジトリのデフォルトブランチに対する依存関 係が対象なので、マージしないと検出できない Dependency review GitHub Actions で利用できるので、プルリクエストなどの時点でも依存 関係のチェックを行える

Slide 27

Slide 27 text

Dependency review

Slide 28

Slide 28 text

Secret scanning • GitHubリポジトリ上の全てのブランチと履歴に対しスキャンを行い、 シークレットの混入を検出してくれる機能 シークレットの種類 説明 パートナープロバイダのパターン パートナープロバイダが発行しているトークンやキーなどのシーク レットパターン(現在、66プロバイダ) 参考: Supported secrets for partner patterns - GitHub Docs カスタムパターン 独自のパターンを定義できる(GitHub Advanced Security が必要(後述)) 参考: Defining custom patterns for secret scanning - GitHub Enterprise Cloud Docs

Slide 29

Slide 29 text

Code scanning • GitHubリポジトリ上のコードに対する脆弱性を検出・管理できる機能 • GitHub が提供する CodeQL を用いて解析 • GitHub Actions を利用して容易に導入できる • 各種言語に応じた汎用的なクエリが用意されている、カスタマイズも可能 • 参考: About code scanning with CodeQL - GitHub Docs • サードパーティ製の静的解析ツールであっても、SARIF形式のレポー トで出力できれば、統合して利用できる

Slide 30

Slide 30 text

Code scanning のレポート一覧

Slide 31

Slide 31 text

Code scanning のレポート 参考: About code scanning alerts - GitHub Docs

Slide 32

Slide 32 text

Code scanning のレポート(tfsec)

Slide 33

Slide 33 text

GitHub セキュリティ関連機能の対応 機能 Public リポ Private リポ(GHASなし) Private リポ(GHASあり) Dependabot alerts 〇 〇 〇 Dependabot security updates 〇 〇 〇 Dependabot version updates 〇 〇 〇 Dependency review 〇 × 〇 Secret scanning 〇 × 〇 + カスタマイズ Code scanning 〇 × 〇

Slide 34

Slide 34 text

GitHub セキュリティ関連機能の対応 機能 Public リポ Private リポ(GHASなし) Private リポ(GHASあり) Dependabot alerts 〇 〇 〇 Dependabot security updates 〇 〇 〇 Dependabot version updates 〇 〇 〇 Dependency review 〇 × 〇 Secret scanning 〇 × 〇 + カスタマイズ Code scanning 〇 × 〇 GitHub Advanced Security のライセンスを導入すれば、 Private リポジトリでも利用可能

Slide 35

Slide 35 text

GitHub Advanced Security • GitHub Enterprise Cloud または Server に対して付与できるセ キュリティライセンス • Privateリポジトリに対しても、下記を利用できる • Dependency review • Secret scanning (パートナーパターンに加え、カスタマイズにも対応) • Code scanning

Slide 36

Slide 36 text

開発フローにプラスしていく

Slide 37

Slide 37 text

開発フローにプラスしていく 便利も、安心も