Continuous Vulnerability scanning on CircleCI ＠lorentzca

Contents ● 自己紹介 ● CircleCI 上で Vuls を動かしてみた話

About Me ● 国島と申します ● ID は lorentzca ● Web インフラエンジニア -> サポートエンジニア ● 主な趣味はキャンプ・釣 り・酒 ● 最近自作キーボード沼 に入水しました ● よろしくおねがいします

CircleCI 上で Vuls を動かしてみた話

CircleCI ● コードのテストやデプロイを自動化してくれる サービス ● 競合として Jenkins, Travis CI, Wercker 等 ● 継続的インテグレーション (CI: Continuous Integration)

なぜそんなことを

CircleCI 2.0 in 2017 ● 好きな Docker Image を使える ● Scheduling jobs (cron) を使える

つまり…

なんでもあり！！

Vuls も CircleCI 上で動かせそう = 継続的脆弱性スキャンの実現

必要な Docker Image は公式で提供され ている ● vuls/go-cve-dictionary ● vuls/goval-dictionary ● vuls/vuls ● あとは CircleCI でうまくやるだけ

CircleCI 2.0 の機能を駆使する

Job の流れ

Job 間での成果物の共有 ● 成果物 (cve.sqlite3, oval.sqlite3) を workspaces に作成 ● persist_to_workspace キーで成果物を保持 ● 下流の job (vuls report 用 job) で attach_workspace キーを使い成果物を取得

SSH 周り ● CircleCI の add_ssh_keys の fingerprints キーを使うと .ssh 以下に config と秘密鍵が追加される ● vuls コマンドの -ssh-config オプションで上記 .ssh/config を読んで ssh してくれる ● Are you sure you want to continue connecting (yes/no)? ○ うるせえ！ echo "StrictHostKeyChecking no" >> /root/.ssh/config して黙殺(雑)

config.toml の取得 ● Private Gist からダウンロードしてる ● 他にもやり方はありそうだけど(リポジトリ内に置 いて checkout とか)、 Gist なら Web 上でささっ と編集できるので便利

Job 間の順序依存 ● workflows の requires キーで依存関係を定義 できる

定期的に実行する ● workflows の schedule トリガーを使う ● cron 形式で指定できる ○ UTC なので注意！コメントで JST の時間を 書いておくと日本人に優しい ☺

github.com/lorentzca/vurcleci/.ci rcleci/config.yml

感想 ● 個人用途であればこれで十分 ☺ ● 無料嬉しい ● 対象サーバが複数あるときつそう ● いろいろ試行錯誤したことなどは別途ブログにもまとめる予 定 ○ blog.lorentzca.me

ご清聴ありがとうございました

おまけ

1台目の自作キーボード。 Planck という 40% キーボード。名前はセラス。

2台目の自作キーボード。同じく Planck 。名前はイリス。セラスは職場で使っていて、イリスは自宅 & 持ち運び用。