今までDefender for CloudのIaCスキャナーといえばオープンソースのTemplate AnalyzerやTerraScanなどでした。
Template Analyzerもいいのですが、この度パブリックプレビューとして新しくCheckovが追加されました。
シンプルにスキャンをかけるだけなら使い方は簡単で、marketplaceからMicrosoft Security for DevOps(Azure DevOpsの場合)をインストールして、YAMLを定義してください。
pool:
vmImage: ubuntu-latest
steps:
- task: MicrosoftSecurityDevOps@1
displayName: 'Microsoft Security DevOps'
inputs:
categories: 'IaC'
break: true
スキャンするだけならこう。Template Analyzerとの違いはルールセットが都度ダウンロードされるということでしょうか。Template Analyzerは最新のものを入れるとか、組織で独自のルールセットを作る時は便利かなと思います。タスクでbreak:trueを指定していると、スキャン時のエラーがあると後続のビルドタスクが進みません。
sarifが出力されるので、publishすれば管理もできます。
GitHubの場合もmicrosoft/security-devops-actionというタスクがあるので追加します。
実行時のパラメータで細かい引数設定もできるので、こちらもどうぞ。
実行結果はPipelineの結果と。
AzureポータルのDefender for DevOpsのポータル内で見えます。
これは無料の範囲で使える(はず…)なので、使ってみてください。
