『知識ゼロエンジニアのブログ』第10弾は、ついにSASTです!
ソースコードを解析し、セキュリティ脆弱性を検出する静的アプリケーション・セキュリティ・テスト(SAST)について、GitLabのAuto DevOpsでSASTをお試しする超簡単な方法を紹介いたします。
DXとしてもよく話題になる機能ですが、、、「知識ゼロエンジニア」にとっては『試すことすらハードルが高い』機能だったそうで「せまりくるSASTの影と圧(?)」から逃げきれない!と覚悟を決めて一歩一歩取り組んだ様子を記事にしています。GitLabのプラン(エディション)によって違いが大きいようでそのあたりも少し整理できているかもしれません。
「GitとCI/CDに関する知識ゼロのSEが、適当なリポジトリでGitLabのAuto DevOpsのSASTを超お手軽に試すだけの話」。
今回のブログ内容:
1. 本記事の対象の方
2. 今回のブログのゴール
3. このブログをお読みいただくにあたっての事前ご連絡事項
4. Step1: 用意するもの (環境)
5. Step2: SASTの対象リポジトリをつくる
6. Step3: リポジトリに .gitlab_ci.yml を作成する
7. Step4: Auto DevOpsのAuto SASTを有効にする
8. Step5-1:【全エディション共通】SASTの結果をjson形式でダウンロードする
9. Step5-2:【Ultimate版の場合】SASTの結果をCI/CDパイプラインの実行履歴から確認する
10. Step5-3: 【Ultimate版の場合】SASTの結果を脆弱性レポートから確認する
11. (余談) エディションの違いとSAST以外のAuto DevOpsについて
12. 最後に
弊社パートナー様はNetworld Dev Portal アカウント(無料)登録いただくと、GitLabパートナー制度や DevSecOps関連提案資料などのパートナー限定コンテンツがご覧いただけます。
DevSecOps全般、GitLab製品または本サイトについては以下よりお問い合わせ下さい。
