メモ
運用コンテキストは パブリック プレビュー 段階であり、変更される可能性があります。
運用環境コンテキストを使った Dependabot alerts の優先順位付け
Application Security (AppSec) マネージャーは、大量の Dependabot alerts に悩まされることがよくありますが、多くの場合は影響を受けるコードが運用環境に導入されないため、実際のリスクを反映していない可能性があります。 運用コンテキストをアラートに関連付けることで、運用環境で実際に承認されている成果物に影響を与える脆弱性をフィルター処理し、優先順位を付けることができます。 これにより、チームは最も重要な脆弱性の修復作業に集中し、ノイズを減らし、セキュリティ態勢を向上させることができます。
運用環境コンテキストを Dependabot alerts に関連付ける
GitHub は、Storage Record API を提供することで、Dependabot alerts の運用環境コンテキストを有効にします。 この API を使うと、パッケージ レジストリまたは GitOps ワークフローは成果物のライフサイクル データを GitHub に送信できます。 成果物が運用環境で承認されたパッケージ リポジトリに昇格されるたびに、この API を呼び出す必要があります。
GitHub によってこのメタデータが処理され、それを使って artifact-registry-url や artifact-registry などの新しいアラート フィルターが強化されます。 詳細については、REST API ドキュメントの「Create artifact metadata storage record」を参照してください。
アラートに優先順位を付ける手順
アラートの優先順位付けに運用環境コンテキストを有効にして使うには、次のステップを実行します。
ステップ 1: 運用環境の成果物の昇格を検出して報告する
CI/CD または GitOps ワークフローでは、成果物が運用環境向けのパッケージ リポジトリに昇格されるたびに、Storage Record API を呼び出して、その成果物のメタデータを GitHub に送信します。 これには、成果物のレジストリ、リポジトリ、バージョンなどの情報が含まれます。 「Artifact metadata」を参照してください。
JFrog Artifactory を使う場合は、カスタム統合を実行する必要はありません。 Artifactory は、Storage Record API とネイティブに統合されています。 Artifactory 設定で統合を有効にするだけで、運用環境昇格イベントは Artifactory から GitHub に自動的に送信されます。
artifact-registry:jfrog-artifactory フィルターは、GitHub で追加の設定をしなくてもすぐに使用できます。 セットアップ手順については、JFrog ドキュメントの JFrog と GitHub の統合の JFrog for [GitHub Dependabot] に関する記事を参照してください。
ステップ 2: 運用環境コンテキスト フィルターを使う
リポジトリのDependabot alertsタブの開いた・閉じたすべてのDependabot alertsおよび対応するDependabot security updatesを表示できます。。 このタブへのアクセス方法については、「Dependabot alerts の表示」を参照してください。
アラート一覧が表示されたら、artifact-registry-url または artifact-registry フィルターを使って、運用環境に存在する成果物に影響する脆弱性に絞り込みます。 次に例を示します。
artifact-registry-url:my-registry.example.com
artifact-registry:jfrog-artifactory
これらを EPSS などの他のフィルターと組み合わせることもできます。
epss > 0.5 AND artifact-registry-url:my-registry.example.com