こんにちは、Orca Security 担当の尾谷です。
これまで Orca Security の Shift Left Security に関する記事をテーマごとに分けてご紹介してきました。
今日は、GitHub アプリと連携して利用する方法をご紹介したいと思います。
今回の手順を使うと、ノーコードで GitHub アプリと Orca Security を統合できます。
プルリク時やプッシュ時に Orca Security がコードキャンするようになります。
Github アプリ
Orca Security は、GitHub アプリと統合することにより、選択したリポジトリで IaC の構成ミス、シークレット、脆弱性などをスキャンできます。
Orca の GitHub アプリは、リポジトリの保護されたブランチ (メイン/マスターなど) へのプッシュごとにスキャンを実行し、新しいプル リクエスト (コード レビュー) ごとにスキャンを実行し、新たに検出された問題を明らかにします。
要件
本機能を利用するには、統合するすべてのリポジトリへの GitHub 管理者アクセスが必要です。
設定方法
設定は簡単でした。
まず Orca Security コンソールにて、左側のメニューペインにある Shift Left の Management をクリックします。
画面遷移したら、Integrations をクリックし、GitHub Application の項目にある [Connect] ボタンをクリックします。
GitHub アカウントにリダイレクトしますので、Github にサインインします。
Orca の GitHub アプリをインストールする対象のアカウントを選択します。
特定のリポジトリか、またはすべてのリポジトリに対して Orca の GitHub アプリを承認します。
ここでは特定のリポジトリを選択しましたが、Orca のドキュメントでは、すべてのリポジトリが推奨されており、この後の手順でスキャン対象を選択できるので、全てで問題ありません。
アプリがインストールされると、Orca UI にリダイレクトされます。
Orca のアプリでのスキャンするリポジトリの選択
アプリケーションがアクセスできるリポジトリのリストから、監視するリポジトリを選択して、[add] ボタンをクリックします。
Scan pull requests [code reviews] のトグルボタンをオフにすると、プルリクエストスキャンを無効にすることができます。
数分すると、インストールが完了しステータスが integrated になります。
プルリクをトリガーにスキャン
早速、スキャンを体験してみます。
[Create pull request] ボタンをクリックして、プルリクエストを送信しました。
すると、1 分も立たないうちにスキャンが完了しました。
Check の列にある各リンクをクリックすると、Orca Security のコンソールが開き詳細を確認できます。
これらのアラートは、他のアラートと同様、アクションを設定できます。
(6/30 に機能アップデートされました。)
誰が処理したかもマウスオーバーすることで確認できるようになりました。
GitHub アプリと統合することでコーディングなく Orca Security にスキャンさせることができますので、是非ご活用ください。
