今までDefender for CloudのIaCスキャナーといえばオープンソースのTemplate AnalyzerやTerraScanなどでした。
Template Analyzerもいいのですが、この度パブリックプレビューとして新しくCheckovが追加されました。
シンプルにスキャンをかけるだけなら使い方は簡単で、marketplaceからMicrosoft Security for DevOps(Azure DevOpsの場合)をインストールして、YAMLを定義してください。
pool: vmImage: ubuntu-latest steps: - task: MicrosoftSecurityDevOps@1 displayName: 'Microsoft Security DevOps' inputs: categories: 'IaC' break: true
スキャンするだけならこう。Template Analyzerとの違いはルールセットが都度ダウンロードされるということでしょうか。Template Analyzerは最新のものを入れるとか、組織で独自のルールセットを作る時は便利かなと思います。タスクでbreak:true
を指定していると、スキャン時のエラーがあると後続のビルドタスクが進みません。
sarifが出力されるので、publishすれば管理もできます。
GitHubの場合もmicrosoft/security-devops-action
というタスクがあるので追加します。
実行時のパラメータで細かい引数設定もできるので、こちらもどうぞ。
実行結果はPipelineの結果と。
AzureポータルのDefender for DevOpsのポータル内で見えます。
これは無料の範囲で使える(はず…)なので、使ってみてください。