概要
Azure Devsop で Devops sec をするには公式が提供する拡張を使います
Microsoft Security Devops をインストールする方法から今回は trivy を使った静的コードスキャンを使ってみます
環境
- Azure Devops (2024/03/08 時点)
- macOS 11.7.10
- Ubuntu 22.04 (Agent)
- azure-pipelines-agent 3.234.0
Microsoft Security Devops をインストールする
右上のマーケットプレイスボタンから「Browse marketplace」をクリックします
マーケットプレイスの一覧になったら検索バーに「Microsoft Security Devops」を入力します
拡張をインストールする組織を聞かれるのでプルダウンから選択してインストールしましょう
インストールが完了すると拡張の一覧に表示されます
azure-pipelines.yml の編集
Microsoft Security Devops を使って trivy でスキャンするジョブを追加します
- vim azure-pipelines.yml
trigger:
batch: true
branches:
include:
- master
pool: test_pool
jobs:
- job: TestJob
steps:
- script: |
echo "Hello, Azure Pipelines!"
cat /etc/issue
uname -a
displayName: "Run My Command"
- task: MicrosoftSecurityDevOps@1
displayName: "Microsoft Security DevOps"
inputs:
command: "run"
policy: "azuredevops"
languages: "python"
tools: "trivy"
inputs に複数のオプションを指定できます
とりあえずプロジェクトは python でできているので launguages は python を指定しましょう
また今回は trivy を実行しますが他にも 'bandit', 'binskim', 'eslint', 'templateanalyzer', 'terrascan', 'trivy'. が指定可能です
動作確認
パイプラインを見ると追加した MicrosoftSecurityDevOps@1 タスクが実行されているのが確認できます
自動で trivy をダウンロードして . に対して実行していることが確認できます
最後に
Azure Devops でセキュリティチェックをしてみました
最近ではこんな感じで CI/CD の中にセキュリティチェックを入れる Devops Sec 的なことが主流のようです
今回は MicrosoftSecurityDevOps を使いました
これを使った場合 trivy 以外のセキュリティチェックもできます
もし trivy だけ使いたいのであれば trivy 専用の拡張もあるのでそれを使っても OK です
0 件のコメント:
コメントを投稿