Tellerでキーストアからシークレット情報取得&ソースコード埋め込みを検知する
これは、豆蔵デベロッパーサイトアドベントカレンダー2022第7日目の記事です。 昨今セキュリティ意識の高まりとともに、シークレット情報の運用は以前よりも注目度が高くなっていると感じます。 また、DevSecOpsの浸透もあり、ソフトウェアライフサクル全体で継続的にセキュリティを確保することが推奨されています...
記事を読むVS Code の CodeQL 拡張と Starter workspace でコード分析する
これは、豆蔵デベロッパーサイトアドベントカレンダー2022第6日目の記事です。 6月の「GitHub の脆弱性検出機能 Code scanning alerts と CodeQL について」の記事で、CodeQL の概要と Code scanning alerts を GitHub Actions ワークフローを使って有効化する方法を紹介しました...
記事を読むGitHub code scanning 結果を VS Code で確認できる SARIF Viewer 拡張
以前「GitHub の脆弱性検出機能 Code scanning alerts と CodeQL について」という記事で Code scanning alerts を設定して確認する方法を紹介しました。 先日 VS Code (と Codespaces) で動作する VS Code 拡張 SARIF Viewer for Visual Studio Code についてのブログが公開されました...
記事を読むCloud Custodian: AWSリソース作成時に自動でOwnerタグをつける
技術検証等の目的で1つのAWSアカウントを組織内で共有して利用することは結構多いかと思います。 弊社でもサンドボックスAWSアカウントを保有しており、個人の勉強からプロジェクトでの技術検証まで様々な用途で利用されています。 ここでよくある悩みの種は、AWSリソースを消し忘れて意図しない課金が発生してしまうことです。目的によっては一時的に高スペックなEC2インスタンスを起動することもありますが、利用終了後に消し忘れると継続的に高価な請求がきます...
記事を読むソフトウェアサプライチェーンセキュリティのための GitHub Actions ワークフロー
昨今 OSS をソフトウェア開発で使用するのは当たり前になっているため、依存しているアップストリームの OSS の脆弱性によりアプリケーションが侵害されるリスクは常にあります。直接使用している OSS のみならず間接的に依存しているものもあります。我々開発者は、Maven / NPM などの公式パッケージレジストリを経由して OSS コードに由来するバイナリやコンポーネントを取得して使用します...
記事を読むNetlify Identityを使ってNetlify CMSのユーザー認証をする
以前に以下の記事でNetlify CMSを使ったコンテンツ管理をご紹介しました。 Netlify CMSのワークフローでコンテンツ管理をする この記事ではGitHubのOAuth認証を使用して、ユーザーがブログ投稿をできるようにしました。 当サイトにおいても、記事の投稿をNetlify CMSでも作成、公開できるようにしました。この記事自体もNetlify CMSを使って作成しています。 CMSを使うのはいいですが、これを操作して誰でも投稿できる状態は望ましくありません...
記事を読むSecrets Store CSI DriverでKubernetesのシークレット情報を管理する
以前に以下の記事で、Kubernetes上のアプリケーションのシークレット情報を暗号化してGit管理する方法をご紹介しました。 SealedSecretsでKubernetesコンテナのシークレット情報をGit管理する ここでは、KubernetesのSecretオブジェクトを暗号化されたSealedSecretオブジェクトに変換することで、シークレット情報を安全にGit管理しました。 ただし、より厳格な組織だと、専用の暗号化ストレージにシークレット情報を完全に分離する必要があったりします...
記事を読むGitHub の脆弱性検出機能 Code scanning alerts と CodeQL について
GitHub の public リポジトリでは、Settings の Security タブから Code scanning alerts を有効化できます。 Code scanning alerts は、コード分析エンジン CodeQL を使用してコードをスキャンし、検出したコードの脆弱性をアラートとして表示します。対応しているプログラミング言語は以下です...
記事を読むSealedSecretsでKubernetesコンテナのシークレット情報をGit管理する
GitOpsが普及し、アプリケーションのソースコードだけでなく、インフラを含めた全ての構成情報をGitで管理して、ランタイム環境と同期を取ることが一般的になってきました。 そんなときに常に悩みの種となるのはシークレット情報です。 一般的にプロジェクトの資材にはデータベースのパスワードやAPIトークン、各種証明書等、Git管理に適さないものを含みます...
記事を読むKubernetesのPod Security(PSS/PSA)
Kubernetesのv1.21で、今までPodセキュリティを担っていたPodSecurityPolicy(PSP)が非推奨となりました[1]。このままいくとPSPはv1.25で削除される予定です。 Kubernetesコミュニティ(Auth Special Interest Group)では、現在これに代わるものとして新たにPod Security Standardsを規定し、これをもとにPodのスペックを検証するPod Security Admissionを開発しています...
記事を読む
