SCA のデプロイ

このラボでは、現在のパイプラインを更新して、Safety を使用してコードを更新するたびにソフトウェア構成解析 (SCA)を自動的に実行します。SCA ソリューションは他にもありますが、ここで紹介する概念はどのツールにも適用できるはずです。

このセクションの終わりまでに、次のような更新されたパイプラインが準備されるはずです。

pipeline-part3

それでは始めましょう!

  1. SCA ツールを実行する CodeBuild プロジェクトは、提供されている CDK 構成ですでに定義されています。あとは以前にダウンロードしたpipelineフォルダにあるconfig.yamlファイルのSCAを有効にするだけです。Cloud9 IDE に向かい、config.yaml を開きます。 config-yaml

  2. sca セクションで、enabled の値を True に設定してください。この時までに、config.yamlは次のようになります: 

     1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

    ### Staging Auto-Deploy
auto_deploy_staging: True

### Static Application Security Testing (SAST) Step
sast:
  enabled: True
  sonarqube:
    image: public.ecr.aws/adelagon/sonarqube:lts-community
    token: 1ecf.......60f2

### Software Composition Analysis (SCA) Step
sca:
  enabled: True

### License Checker Step
license:
  enabled: False

### Dynamic Application Security Testing (DAST) Step
dast:
  enabled: False
  zaproxy:
    instance_type: t2.medium
    api_key: SomeRandomString

  3. CDK によってデプロイされる新しい AWS リソースに関する情報を確認するには、ターミナルウィンドウに移動して次のように入力します。

    cd ~/environment/pipeline
cdk diff

  4. 次に、変更を展開します。

    cdk deploy

  5. CDK のデプロイが成功したら、AWS CodePipeline をチェックして、SAST ステージの後に導入された SCACheck という名前の新しいステージがあることを確認します。 sca-codepipeline