Code Risk AnalyzerでNode.jsアプリのセキュリティー脆弱性をスキャンする方法

この記事では、Code Risk Analyzer を設定して、Git repo 内のシンプルなNode.js アプリをスキャンする方法を解説します。

IBM Cloud Continuous Delivery の一部であるCode Risk Analyzer (参考: Code Risk Analyzer 関連ブログ (英語)) は、Git ベースのコード、設定、およびデプロイメント・アーティファクトをすべて取り込み、依存関係グラフを構築し、規制コンプライアンスのコントロール・チェックの段階的なプロセスを実行します。これは、変更要求を作成したり、コードの変更をメインの開発用ブランチへ進めるなど、既存の開発ワークフローに組み込むことができます。Snyk やその他のソースが提供する包括的なセキュリティー・カバレッジと、豊富な脅威インテリジェンスの統合は、開発者がワークフローの早い段階で、オープンソースの依存関係やコンテナの脆弱性を自動的に発見し、優先順位を付けて修正するのを支援します。

ツールチェーンをセットアップする

Code Risk Analyzer は、Java™、Node.js、Python 言語をサポートしています。Node.js の場合、以下のファイルを使用して依存関係を計算します:

• package-lock.json: このファイルの目的は、前回 npm install を実行したときのツリー内のすべてのパッケージの正確なバージョンを呼び出すマニフェストを提供することです。このファイルは Code Risk Analyzer がコード内のパッケージの依存関係を識別するために使用します。
• deployment.yml: このファイルは、コードのパッケージ依存性を識別するために Code Risk Analyzer が使用するファイルです。このファイルは、アプリケーションを Kubernetes クラスターにデプロイする際のすべてのパラメータを指定します。このファイルは、コミュニティーや業界標準に基づいて、設定ミスや潜在的なセキュリティーやコンプライアンスの問題がないかスキャンされます。
• dockerfile: dockerfileは、Dockerイメージをビルドするためのレシピで、ビルド・コマンドを実行することでそのレシピからイメージを生成します。Code Risk AnalyzerはdockerfileをスキャンしてOSとイメージの依存関係を調べ、既知の脆弱性をチェックします。

リポジトリーをスキャンするには、以下の手順に従ってください(詳細は、Code Risk Analyzerの公開文書を参照してください):

1. 空のツールチェーンを作成するには、Build your own ツールチェーンテンプレートを使用してください。現在、Code Risk Analyzer はダラス地域でのみ利用可能であることに注意してください。
2. DevOps Insights のツール統合をツールチェーンに追加します。
3. スキャンしたいコードを含む code repo をツールチェーンに追加します。例えば、GitHub や GitLabのrepo を追加します。
4. Code Risk Analyzer で認証するための API キーを作成します。
5. Tekton パイプラインを作成して設定します。
6. repo に新しいMerge/Pull リクエストを作成します。リクエストが送信されると、Code Risk Analyzer は自動的にTekton デリバリー・パイプラインを実行してrepoをスキャンします。
7. スキャンの結果は、Merge/Pull リクエストに表示されます。

動画で手順を確認しましょう

動画：Code Risk Analyzerを使ってNode.js apps をスキャンする(英語:8分41秒)

さらに詳しい情報は

Code Risk Analyzer は IBM Cloud Continuous Deliverの一部として組み込まれており、米国南部のダラスにあるIBM Cloud Dallas リージョンで利用できます。

• Code Risk Analyzer に関するIBM Research blog (英語)をご覧ください。
• Code Risk Analyzer の詳細については、公開文書をご参照ください。
• ご不明な点やご質問等がございましたら、Slack (英語)に参加して質問することにより、 IBM Cloud の開発チームから直接支援を受けることもできます。