サーバレスCI/CDツール

CloudGuard サーバレスCI/CD プラグインがCI/CD デプロイメントを拒否すると、検出されたリスクを解決する方法について、開発者とDevOps エンジニアに明確なガイダンスが提供されます。また、開発者は、パイプラインにコードを配信する前に、セキュリティポスチャを直接チェックする機能も提供します。

サーバレスCI/CD プラグインは、Java、Python、Node、C# をサポートし、サーバレスエコシステム(関数コード、権限、サードパーティライブラリなど) にまたがるセキュリティリスクを識別するように設計されています。

プラグインは、以下のコードと設定をスキャンします。

• サーバレス関数で使用されるオーバーパーミッシブIAM ロールの識別

• サードパーティライブラリの脆弱性を特定する

• ハードコードされた認証情報、秘密、およびサーバレスコード内のその他の機密情報の識別

• 未使用関数を識別する

動作

CloudGuard サーバレス CI/CDプラグインディープコードフロー解析は、サーバレス関数コードを解析して、その動作を理解します。デプロイ中にコード/バイトコードが解析され、コード";dos"が決定されます。コードは抽象構文木(AST) に解析され、コードの実行はコードの実行前にエミュレートされます。これは複雑なプロセスであり、非決定論的な状態変化を処理する必要がありますが、非常に正確な結果を生成することができます。 ​

アクション

プラグインからのランタイム保護の有効化

クラウドアカウントにデプロイする前に、関数でAWS Serverless Function Runtime Protectionを有効にするようにプラグインを設定できます。後でCloudGuard にオンボードされると、ランタイムプロテクションがすでに有効になっています。

プラグインのダウンロードとインストール

CI/CDツールでプラグインを使用するには、CloudGuardアカウントが必要です。

1. Workload Protection メニューのCI-CD Tool ページに移動し、次のいずれかの方法を選択します。

   • Serverless Plugin Integration - AWS FSP と AWS Proact のインストールを許可します。

   • CloudFormation - AWS FSP および AWS Proact のインストールを許可します。

   • CLI Plugin Integration - AWS FSP、AWS Proact、Azure FSP のインストールを許可します。

2. 画面の指示に従います。