Vous pouvez utiliser l'outil Analyze Code Security l'action pour valider l'Infrastructure as Code (IaC) qui fait partie de vos actions GitHub ; du workflow. La validation de l'IaC vous permet de déterminer si votre ressource Terraform ne respectent pas les règles d'administration et des détecteurs Security Health Analytics qui sont appliqués à vos ressources Google Cloud.
Pour en savoir plus sur la validation de l'IaC, consultez Valider votre IaC par rapport à votre de l'organisation Google Cloud règles.
Avant de commencer
Effectuez ces tâches pour commencer la validation IaC avec GitHub Actions.
Activer le niveau Premium ou Enterprise de Security Command Center
Vérifiez que les options du niveau Premium ou Enterprise de Security Command Center est activé au niveau au niveau de l'organisation.
L'activation de Security Command Center active les securityposture.googleapis.com et
API securitycentermanagement.googleapis.com.
Créer un compte de service
Créez un compte de service que vous pouvez utiliser pour l'analyse de la sécurité du code action.
-
In the Google Cloud console, go to the Create service account page.
Go to Create service account - Select your project.
-
In the Service account name field, enter a name. The Google Cloud console fills in the Service account ID field based on this name.
In the Service account description field, enter a description. For example,
Service account for quickstart. - Click Create and continue.
-
Grant the Security Posture Shift-Left Validator role to the service account.
To grant the role, find the Select a role list, then select Security Posture Shift-Left Validator.
- Click Continue.
-
Click Done to finish creating the service account.
Pour en savoir plus sur les autorisations de validation IaC, consultez IAM au niveau de l'organisation ou activations.
Configurer l'authentification
Configurez la fédération d'identité de charge de travail avec votre fournisseur d'identité GitHub. Pour instructions, consultez l'article Fédération d'identité de charge de travail
Obtenez l'URL de votre jeton d'ID de fédération d'identité de charge de travail. Par exemple,
https://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID.Réfléchissez aux éléments suivants :
PROJECT_NUMBERest le numéro de projet de Projet Google Cloud dans lequel vous avez configuré la fédération d'identité de charge de travail.POOL_IDest le nom du pool.PROVIDER_IDest le nom de votre fournisseur d'identité.
Ajoutez le module S'authentifier sur Google Cloud action à votre workflow pour authentifier l'action de validation IaC.
Définir vos règles
Définissez votre organisation règles et Security Health Analytics et des détecteurs de fumée. À définir ces stratégies à l'aide d'une stratégie de sécurité, effectuez les tâches décrites dans la section Créer et déployer un de sécurité.
Créer votre fichier JSON de plan Terraform
Créez votre code Terraform. Pour obtenir des instructions, consultez la page Créer votre fichier code.
Dans vos actions GitHub, initialisez Terraform. Par exemple, si vous utilisez l'action HashiCorp - Setup Terraform, exécutez la commande suivante:
- name: Terraform Init id: init run: terraform initCréez un fichier de plan Terraform:
- name: Create Terraform Plan id: plan run: terraform plan -out=TF_PLAN_FILERemplacez
TF_PLAN_FILEpar le nom du plan Terraform. . Exemple :myplan.tfplanConvertissez votre fichier de plan au format JSON:
- name: Convert Terraform Plan to JSON id: convert run: terraform show -no-color -json TF_PLAN_FILE > TF_PLAN_JSON_FILERemplacez
TF_PLAN_JSON_FILEpar le nom de l'instance au format JSON. Exemple :mytfplan.json
Ajouter l'action à votre workflow GitHub Actions
- Dans le dépôt GitHub, accédez à votre workflow.
- Ouvrez l'éditeur de workflow.
- Dans la barre latérale de GitHub Marketplace, recherchez Analyze Code Security (Analyser la sécurité du code).
- Dans la section Installation, copiez la syntaxe.
- Collez la syntaxe en tant que nouvelle étape de votre workflow.
Remplacez les valeurs suivantes :
workload_identity_providerpar le lien vers l'URL de votre Jeton d'ID de fédération d'identité de charge de travail.service_accountpar l'adresse e-mail du compte de service que vous créé pour l'action.organization_idpar l'ID de votre organisation Google Cloudscan_file_refpar le chemin d'accès à votre fichier de plan Terraform, au format JSON ;failure_criteriapar le seuil d'échec qui détermine le moment où l'action échoue. Le critère de seuil est en fonction du nombre de problèmes de gravité critique, élevée, moyenne et faible lors de l'analyse de validation IaC.failure_criteriaspécifie le nombre problèmes de chaque gravité sont autorisés et comment ils sont regroupés (ANDouOR). Par exemple, si vous souhaitez que l'action échoue rencontre un problème critique ou un problème de gravité élevée, définissez lefailure_criteriaàCritical:1,High:1,Operator:OR. La valeur par défaut estCritical:1,High:1,Medium:1,Low:1,Operator:OR, ce qui signifie que si l'IaC de validation rencontre un problème, l'action doit échouer.
Vous pouvez maintenant exécuter le workflow pour valider votre fichier de plan Terraform. Pour exécuter la manuellement, consultez la section Exécution manuelle d'une du workflow.
Afficher le rapport de non-respect de l'IaC
Dans votre dépôt GitHub, cliquez sur Actions et sélectionnez votre workflow.
Cliquez sur l'exécution la plus récente de votre workflow.
Dans la section Artefacts, le signalement de non-respect des règles (
ias-scan-sarif.json) est disponible dans un fichier ZIP. Le rapport inclut les les champs suivants:- Un champ "
rules" qui décrit les règles qui ont été enfreintes par le "terraform plan". Chaque règle inclut unruleIDque vous pouvez faire correspondre avec le qui sont inclus dans le rapport. - Un champ
resultsqui décrit les modifications d'éléments proposées enfreignant une règle spécifique.
- Un champ "
Résolvez les cas de non-conformité dans votre code Terraform avant de l'appliquer.
Étape suivante
- Afficher l'action analyze-code-security-scc dans le code source GitHub.