[レポート] Amazon CodeCatalystでCI/CDパイプラインに脆弱性検査を組み込む #AWSreInvent #DOP403

[レポート] Amazon CodeCatalystでCI/CDパイプラインに脆弱性検査を組み込む #AWSreInvent #DOP403

Clock Icon2023.12.06

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、muroです。AWS事業本部 サービス開発室でopswitchの開発・運用を担当しています。opswitchでは様々なOSSを利用していますが、サービスを安全に運用するためには継続的なセキュリティ検査が欠かせません。CI/CDパイプライン上でセキュリティ検査を自動的に実行できれば、作業負荷を大きく軽減できるだけでなく、脆弱性に気付かずにリリースしてしまうのを防ぐこともできます。

さて、re:Invent 2023ではAWSの統合ソフトウェア開発サービスである Amazon CodeCatalyst のアップデートも発表されていますが、今回ハンズオン形式でCI/CDパイプラインでセキュリティ検査を組み込むセッションを受講できたので、レポートしていきます。

セッション概要

タイトル

Hands-on with Amazon CodeCatalyst: Automating security in CI/CD pipelines

概要

In this session, learn how to build a CI/CD pipeline with Amazon CodeCatalyst and add the necessary steps to secure your pipeline. Learn how to perform tasks such as secret scanning, software composition analysis (SCA), static application security testing (SAST), and generating a software bill of materials (SBOM). You must bring your laptop to participate.
このセッションでは、Amazon CodeCatalyst を使用して CI/CD パイプラインを構築する方法と、パイプラインを保護するために必要な手順を追加する方法を学びます。シークレット スキャン、ソフトウェア構成分析 (SCA)、静的アプリケーション セキュリティ テスト (SAST)、ソフトウェア部品表 (SBOM) の生成などのタスクを実行する方法を学びます。参加するにはラップトップを持参する必要があります。

スピーカー

  • Kandarp Thakar
  • Birant Akarslan
  • Alex Forsyth
  • Janardhan Molumuri
  • Dr. Rahul Sharad Gaikwad

レベル

400 エキスパート

利用するAWSサービス

Amazon CodeCatalyst

セッションの内容

このセッションはBuilders' Sessionという形式で行われました。5~6人の少人数のグループに講師が1名つき、まず講師からセッションで学んでほしいことの講義があり、その後指示された手順に沿って、各々が持ち込んだラップトップでハンズオンを進めていく、というものでした。

講義パート

DevSecOpsの重要性、CI/CDパイプライン自体のセキュリティ対策、CI/CDパイプライン上で実現するセキュリティ対策について話されました。続いてハンズオンで構築するものが提示されました。

ハンズオンでは、シークレットスキャンと静的アプリケーションセキュリティテスト (SAST) を Amazon CodeGuru で、ソフトウェアコンポジション解析 (SCA) とソフトウェア部品表 (SBoM) を外部サービスの mend.io で実行します。

また、Amazon CodeCatalyst の基本的な概念についても話されました。CodeCatalyst については、次のブログ記事もご参考にどうぞ。

ハンズオンパート

まず、講師の方からセッションでのみ有効なビルダーIDが渡され、予め用意されたスペースにサインインしてハンズオンを開始します。Mythical Mysfits という可愛らしい怪獣図鑑のようなWEBアプリケーションをデプロイするパイプラインを実行していきます。予め用意されたカスタム・ブループリントを使って、プロジェクトを作成します。

プロジェクトを作成した後は、CI/CDパイプラインをYAML形式で編集したり、グラフを操作してタスクの依存関係を設定してパイプラインに CodeGuru と Mend のセキュリティ・タスクを組み込みます。続いて、パイプラインを実行すると、コード内に脆弱性が見つかり、パイプラインが失敗することを確認します。脆弱性を修正してコードをPushすると、パイプラインが成功します。

セッションを受講してみて

脆弱性検査に関して Amazon Inspector はよく利用していますが、CodeGuru と Mend.io については今回初めて触ることができました。両者を組み合わせることで多角的にアプリケーションを検査でき、また CodeCatalyst のパイプラインに簡単に組み込むことができることを学びました。サービス開発の効率化や安全な運用のため、今後も CodeCatalyst を試してきたいと思います。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.