IBM Cloud Blog
Code Risk AnalyzerでNode.jsアプリのセキュリティー脆弱性をスキャンする方法
2021年01月26日
カテゴリー IBM Cloud Blog | IBM Cloud News
記事をシェアする:
この投稿は、2021年1月20日に、米国 IBM Cloud Blog に掲載されたブログ(英語)の抄訳です。
この記事では、Code Risk Analyzer を設定して、Git repo 内のシンプルなNode.js アプリをスキャンする方法を解説します。
IBM Cloud Continuous Delivery の一部であるCode Risk Analyzer (参考: Code Risk Analyzer 関連ブログ (英語)) は、Git ベースのコード、設定、およびデプロイメント・アーティファクトをすべて取り込み、依存関係グラフを構築し、規制コンプライアンスのコントロール・チェックの段階的なプロセスを実行します。これは、変更要求を作成したり、コードの変更をメインの開発用ブランチへ進めるなど、既存の開発ワークフローに組み込むことができます。Snyk やその他のソースが提供する包括的なセキュリティー・カバレッジと、豊富な脅威インテリジェンスの統合は、開発者がワークフローの早い段階で、オープンソースの依存関係やコンテナの脆弱性を自動的に発見し、優先順位を付けて修正するのを支援します。
ツールチェーンをセットアップする
Code Risk Analyzer は、Java™、Node.js、Python 言語をサポートしています。Node.js の場合、以下のファイルを使用して依存関係を計算します:
- package-lock.json: このファイルの目的は、前回 npm install を実行したときのツリー内のすべてのパッケージの正確なバージョンを呼び出すマニフェストを提供することです。このファイルは Code Risk Analyzer がコード内のパッケージの依存関係を識別するために使用します。
- deployment.yml: このファイルは、コードのパッケージ依存性を識別するために Code Risk Analyzer が使用するファイルです。このファイルは、アプリケーションを Kubernetes クラスターにデプロイする際のすべてのパラメータを指定します。このファイルは、コミュニティーや業界標準に基づいて、設定ミスや潜在的なセキュリティーやコンプライアンスの問題がないかスキャンされます。
- dockerfile: dockerfileは、Dockerイメージをビルドするためのレシピで、ビルド・コマンドを実行することでそのレシピからイメージを生成します。Code Risk AnalyzerはdockerfileをスキャンしてOSとイメージの依存関係を調べ、既知の脆弱性をチェックします。
リポジトリーをスキャンするには、以下の手順に従ってください(詳細は、Code Risk Analyzerの公開文書を参照してください):
- 空のツールチェーンを作成するには、Build your own ツールチェーンテンプレートを使用してください。現在、Code Risk Analyzer はダラス地域でのみ利用可能であることに注意してください。
- DevOps Insights のツール統合をツールチェーンに追加します。
- スキャンしたいコードを含む code repo をツールチェーンに追加します。例えば、GitHub や GitLabのrepo を追加します。
- Code Risk Analyzer で認証するための API キーを作成します。
- Tekton パイプラインを作成して設定します。
- repo に新しいMerge/Pull リクエストを作成します。リクエストが送信されると、Code Risk Analyzer は自動的にTekton デリバリー・パイプラインを実行してrepoをスキャンします。
- スキャンの結果は、Merge/Pull リクエストに表示されます。
動画で手順を確認しましょう
動画:Code Risk Analyzerを使ってNode.js apps をスキャンする(英語:8分41秒)
さらに詳しい情報は
Code Risk Analyzer は IBM Cloud Continuous Deliverの一部として組み込まれており、米国南部のダラスにあるIBM Cloud Dallas リージョンで利用できます。
- Code Risk Analyzer に関するIBM Research blog (英語)をご覧ください。
- Code Risk Analyzer の詳細については、公開文書をご参照ください。
- ご不明な点やご質問等がございましたら、Slack (英語)に参加して質問することにより、 IBM Cloud の開発チームから直接支援を受けることもできます。
翻訳:IBM Cloud Blog Japan 編集部
*このブログは、2021/1/20に発行された“How to Scan a Node.js App for Security Vulnerabilities with Code Risk Analyzer”(英語)の抄訳です。
セキュリティー・ロードマップ
IBM Cloud Blog
統合脅威管理、耐量子暗号化、半導体イノベーションにより、分散されているマルチクラウド環境が保護されます。 2023 安全な基盤モデルを活用した統合脅威管理により、価値の高い資産を保護 2023年には、統合された脅威管理と ...続きを読む
量子ロードマップ
IBM Cloud Blog
コンピューティングの未来はクォンタム・セントリックです。 2023 量子コンピューティングの並列化を導入 2023年は、Qiskit Runtimeに並列化を導入し、量子ワークフローの速度が向上する年になります。 お客様 ...続きを読む
ハイブリッドクラウド・ロードマップ
IBM Cloud Blog
コンポーザブルなアプリケーション、サービス、インフラストラクチャーにより、企業は複数のクラウドにまたがるダイナミックで信頼性の高い仮想コンピューティング環境の作成が可能になり、開発と運用をシンプルに行えるようになります。 ...続きを読む