CI/CDセキュリティ

🔥 Vibe プロンプト

「CI/CDパイプラインを強化:署名付きコミット、SBOM、依存関係スキャン、アーティファクト署名。」

サプライチェーン脅威

1. 侵害された依存関係 (event-stream, log4j)
2. 内部関係者による悪意のあるコミット
3. CI/CD資格情報漏洩
4. ビルドアーティファクト改ざん
5. レジストリ侵害

署名付きコミット

gpg --full-generate-key
git config --global user.signingkey <KEY>
git config --global commit.gpgsign true
git commit -S -m "feat: add auth"
git log --show-signature

SBOM

syft myapp:latest -o spdx-json > sbom.spdx.json
grype sbom:sbom.spdx.json

依存関係スキャン

alerts:
  - package-ecosystem: npm
    directory: /
    schedule:
      interval: daily

Cosign(アーティファクト署名)

cosign generate-key-pair
cosign sign --key cosign.key myapp:latest
cosign verify --key cosign.pub myapp:latest

CI/CD強化チェックリスト

| プラクティス | ツール | |-----------|-------| | 署名付きコミット | GPG | | SBOM生成 | Syft | | 依存関係スキャン | Dependabot, Snyk | | アーティファクト署名 | Cosign | | SAST | Semgrep | | イメージスキャン | Trivy |

ベストプラクティス

  • CI/CDにシークレットなし(OIDC使用)
  • すべての依存関係をスキャン
  • すべてのアーティファクトに署名
  • エフェメラルランナーを使用
  • アクションはタグではなくSHAで固定
  • mainブランチで署名付きコミットを強制
  • リリースごとにSBOM生成

重要なポイント

  • コアコンセプトをしっかり理解する
  • ハンズオンコード例で実践する
  • 実世界の問題に応用する
  • 演習で知識を強化する

さらに学ぶ

  • 公式ドキュメント
  • GitHubのオープンソースプロジェクト
  • コミュニティフォーラムとディスカッション
  • 関連コースとチュートリアル

会員限定無料チュートリアル

このチャプターは登録会員限定の無料コンテンツです!ログインまたは登録してすぐにロックを解除してください。

今すぐログイン / 登録