Puoi utilizzare l'azione Analyze Code Securityper convalidare l'infrastruttura come codice (IaC) che fa parte del flusso di lavoro di GitHub Actions. La convalida dell'infrastruttura come codice ti consente di determinare se le definizioni delle risorse Terraform violano le policy dell'organizzazione esistenti e i rilevatori di Security Health Analytics applicati alle tue risorse Google Cloud .
Per saperne di più sulla convalida dell'IaC, consulta Convalidare l'IaC in base ai criteri della tua Google Cloud organizzazione.
Prima di iniziare
Completa queste attività per iniziare a utilizzare la convalida IaC con GitHub Actions.
Attiva il livello Security Command Center Premium o Enterprise
Verifica che il livello Security Command Center Premium o Enterprise sia attivato a livello di organizzazione.
L'attivazione di Security Command Center abilita le API securityposture.googleapis.com e securitycentermanagement.googleapis.com.
Crea un account di servizio
Crea un account di servizio che puoi utilizzare per l'azione Analyze Code Security.
-
In the Google Cloud console, go to the Create service account page.
Go to Create service account - Select your project.
-
In the Service account name field, enter a name. The Google Cloud console fills in the Service account ID field based on this name.
In the Service account description field, enter a description. For example,
Service account for quickstart. - Click Create and continue.
-
Grant the Security Posture Shift-Left Validator role to the service account.
To grant the role, find the Select a role list, then select Security Posture Shift-Left Validator.
- Click Continue.
-
Click Done to finish creating the service account.
Per maggiori informazioni sulle autorizzazioni di convalida dell'IaC, consulta IAM per le attivazioni a livello di organizzazione.
Configura l'autenticazione
Configura la federazione delle identità per i workload con il tuo provider di identità GitHub. Per istruzioni, consulta Federazione delle identità per i workload.
Ottieni l'URL del token ID della federazione di Workload Identity. Ad esempio,
https://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID.Considera quanto segue:
PROJECT_NUMBERè il numero di progetto del progettoGoogle Cloud in cui hai configurato la federazione delle identità per i carichi di lavoro.POOL_IDè il nome del pool.PROVIDER_IDè il nome del tuo provider di identità.
Aggiungi l'azione Autenticati su Google Cloud al tuo flusso di lavoro per autenticare l'azione di convalida dell'IaC.
Definisci le tue policy
Definisci i criteri dell'organizzazione e i detector di Security Health Analytics. Per definire queste policy utilizzando una postura di sicurezza, completa le attività descritte in Creare e implementare una postura.
Crea il file JSON del piano Terraform
Crea il codice Terraform. Per le istruzioni, vedi Creare il codice Terraform.
In GitHub Actions, inizializza Terraform. Ad esempio, se utilizzi l'azione HashiCorp - Setup Terraform, esegui il seguente comando:
- name: Terraform Init id: init run: terraform initCrea un file di piano Terraform:
- name: Create Terraform Plan id: plan run: terraform plan -out=TF_PLAN_FILESostituisci
TF_PLAN_FILEcon il nome del file del piano Terraform. Ad esempio,myplan.tfplan.Converti il file del piano in formato JSON:
- name: Convert Terraform Plan to JSON id: convert run: terraform show -no-color -json TF_PLAN_FILE > TF_PLAN_JSON_FILESostituisci
TF_PLAN_JSON_FILEcon il nome del file di piano Terraform, in formato JSON. Ad esempio,mytfplan.json.
Aggiungi l'azione al workflow di GitHub Actions
- Nel repository GitHub, vai al tuo flusso di lavoro.
- Apri l'editor del flusso di lavoro.
- Nella barra laterale di GitHub Marketplace, cerca Analyze Code Security.
- Nella sezione Installazione, copia la sintassi.
- Incolla la sintassi come nuovo passaggio nel flusso di lavoro.
Sostituisci i seguenti valori:
workload_identity_providercon il link all'URL del tuo token ID federazione delle identità per i carichi di lavoro.service_accountcon l'indirizzo email del account di servizio che hai creato per l'azione.organization_idcon l' Google Cloud ID organizzazione.scan_file_refcon il percorso del file del piano Terraform, in formato JSON.failure_criteriacon i criteri di soglia di errore che determinano quando l'azione non va a buon fine. I criteri di soglia si basano sul numero di problemi di gravità critica, elevata, media e bassa rilevati dalla scansione di convalida dell'infrastruttura come codice.failure_criteriaspecifica il numero di problemi di ogni gravità consentiti e la modalità di aggregazione dei problemi (ANDoOR). Ad esempio, se vuoi che l'azione non vada a buon fine se rileva un problema critico o un problema di gravità elevata, impostafailure_criteriasuCritical:1,High:1,Operator:OR. Il valore predefinito èCritical:1,High:1,Medium:1,Low:1,Operator:OR, il che significa che se la scansione di convalida dell'infrastruttura come codice rileva problemi, l'azione deve non riuscire.
Ora puoi eseguire il flusso di lavoro per convalidare il file di piano Terraform. Per eseguire il flusso di lavoro manualmente, vedi Eseguire manualmente un flusso di lavoro.
Visualizzare il report sulle violazioni dell'IaC
Nel repository GitHub, fai clic su Azioni e seleziona il flusso di lavoro.
Fai clic sull'esecuzione più recente del workflow.
Nella sezione Artefatti, il report sulle violazioni (
ias-scan-sarif.json) è disponibile in un file zip. Il report include i seguenti campi:- Un campo
rulesche descrive quali norme sono state violate dal piano Terraform. Ogni regola include unruleIDche puoi abbinare ai risultati inclusi nel report. - Un campo
resultsche descrive le modifiche proposte alla risorsa che violano una regola specifica.
- Un campo
Risolvi eventuali violazioni nel codice Terraform prima di applicarlo.
Passaggi successivi
- Visualizza il codice sorgente dell'azione analyze-code-security-scc su GitHub.