kkamegawa's weblog

Visual Studio,TFS,ALM,VSTS,DevOps関係のことについていろいろと書いていきます。Google Analyticsで解析を行っています

Defender for Cloudの新しいIaCスキャナーがパブリックプレビュー

今までDefender for CloudのIaCスキャナーといえばオープンソースのTemplate AnalyzerTerraScanなどでした。

Template Analyzerもいいのですが、この度パブリックプレビューとして新しくCheckovが追加されました。

learn.microsoft.com

シンプルにスキャンをかけるだけなら使い方は簡単で、marketplaceからMicrosoft Security for DevOps(Azure DevOpsの場合)をインストールして、YAMLを定義してください。

pool:
  vmImage: ubuntu-latest

steps:
- task: MicrosoftSecurityDevOps@1
  displayName: 'Microsoft Security DevOps'
  inputs:
    categories: 'IaC'
    break: true

スキャンするだけならこう。Template Analyzerとの違いはルールセットが都度ダウンロードされるということでしょうか。Template Analyzerは最新のものを入れるとか、組織で独自のルールセットを作る時は便利かなと思います。タスクでbreak:trueを指定していると、スキャン時のエラーがあると後続のビルドタスクが進みません。

marketplace.visualstudio.com

sarifが出力されるので、publishすれば管理もできます。

learn.microsoft.com

GitHubの場合もmicrosoft/security-devops-actionというタスクがあるので追加します。

learn.microsoft.com

実行時のパラメータで細かい引数設定もできるので、こちらもどうぞ。

github.com

実行結果はPipelineの結果と。

AzureポータルのDefender for DevOpsのポータル内で見えます。

これは無料の範囲で使える(はず…)なので、使ってみてください。