ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Shift Left Security - Github アプリと統合してプルリク時にスキャンする環境の作り方

フォージビジョン Orca Security のサービスサイト がオープンしました。

コーポレートサイトで活用事例を公開中!

こんにちは、Orca Security 担当の尾谷です。

これまで Orca Security の Shift Left Security に関する記事をテーマごとに分けてご紹介してきました。
今日は、GitHub アプリと連携して利用する方法をご紹介したいと思います。

今回の手順を使うと、ノーコードで GitHub アプリと Orca Security を統合できます。
プルリク時やプッシュ時に Orca Security がコードキャンするようになります。

techblog.forgevision.com

techblog.forgevision.com

techblog.forgevision.com

Github アプリ

Orca Security は、GitHub アプリと統合することにより、選択したリポジトリで IaC の構成ミス、シークレット、脆弱性などをスキャンできます。
Orca の GitHub アプリは、リポジトリの保護されたブランチ (メイン/マスターなど) へのプッシュごとにスキャンを実行し、新しいプル リクエスト (コード レビュー) ごとにスキャンを実行し、新たに検出された問題を明らかにします。

要件

本機能を利用するには、統合するすべてのリポジトリへの GitHub 管理者アクセスが必要です。

設定方法

設定は簡単でした。

まず Orca Security コンソールにて、左側のメニューペインにある Shift Left の Management をクリックします。
画面遷移したら、Integrations をクリックし、GitHub Application の項目にある [Connect] ボタンをクリックします。

GitHub アカウントにリダイレクトしますので、Github にサインインします。

Orca の GitHub アプリをインストールする対象のアカウントを選択します。

特定のリポジトリか、またはすべてのリポジトリに対して Orca の GitHub アプリを承認します。
ここでは特定のリポジトリを選択しましたが、Orca のドキュメントでは、すべてのリポジトリが推奨されており、この後の手順でスキャン対象を選択できるので、全てで問題ありません。

アプリがインストールされると、Orca UI にリダイレクトされます。

Orca のアプリでのスキャンするリポジトリの選択

アプリケーションがアクセスできるリポジトリのリストから、監視するリポジトリを選択して、[add] ボタンをクリックします。
Scan pull requests [code reviews] のトグルボタンをオフにすると、プルリクエストスキャンを無効にすることができます。

数分すると、インストールが完了しステータスが integrated になります。

プルリクをトリガーにスキャン

早速、スキャンを体験してみます。
[Create pull request] ボタンをクリックして、プルリクエストを送信しました。

すると、1 分も立たないうちにスキャンが完了しました。

Check の列にある各リンクをクリックすると、Orca Security のコンソールが開き詳細を確認できます。

これらのアラートは、他のアラートと同様、アクションを設定できます。
(6/30 に機能アップデートされました。)

誰が処理したかもマウスオーバーすることで確認できるようになりました。

GitHub アプリと統合することでコーディングなく Orca Security にスキャンさせることができますので、是非ご活用ください。