LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@fitz(Tsuguo Ishikawa)inIBM

はじめてのHCP Vault Radar⑥ AzureDevOps Cloud連携によるシークレット自動検出

Posted at

はじめに

HCP Vault Radarのトライアル環境で、Azure DevOps Cloudのリポジトリをスキャンしてみます。

トライアルの登録が必要な方は以下の記事を参照ください。
はじめてのHCP Vault Radar① GitHub連携によるシークレット自動検出

HCP Vault Radarではいくつかのスキャン方式を提供しています。
以下は、HCP Vault Radarが提供するスキャン方式の一覧です。

# カテゴリ 説明
1 HCP Vault Radar Scan SaaSからの直接スキャン、トライアル環境で設定可能。
2 Vault Radar Agent Scan Agent経由のスキャン、トライアル環境で設定可能。Agentは1つまで構成可能
3 Vault Radar CLI Scan CLIでのスキャン。マニュアルに「Contact your customer success manager to enable HCP Vault Radar or for a license to run the CLI in offline mode.」と記載あるので一部利用できない可能性あり。

今回は、#1 HCP Vault Radar Scan 方式のスキャンで試してみます。
image.png

2.Azure DevOps Cloudとの連携

1.Vault Radarのダッシュボードで、スキャン方法として、「HCP Vault Radar Scan」を選択し、Continueをクリックします
image.png

2.スキャン対象のデータソースを設定します。今回はAzure DevOps Cloudを選択します
image.png

3.Azure DevOps Cloudの組織名、プロジェクト名を指定します。
image.png

4.Azure DevOps Cloudでパーソナルアクセストークンを取得します。

Azure DevOps Cloudの右上の「歯車アイコン」-「Personal access token」をクリックします。

「New Token」をクリックします。

こちらのガイドに従い、スコープを設定します。

Azure DevOps Cloudのアクセストークンは、下記スコープを選択して発行します。
デフォルトだとすべてスコープが表示されていないので、Show all scopesのリンクをクリックします。

  • Code > Read
  • Entitlements > Read
  • Graph > Read
  • Identity > Read
  • Member Entitlement Management > Read
  • Notifications > Read, Write, & Manage
  • Project and Team > Read
  • Service Connections > Read
  • User Profile > Read
  • Work Items > Read & Write

発行されたトークンをVault Radarの設定画面に入力して、「Next」をクリックします。
image.png

4.リポジトリを50個以内で選択し(あるいは、All active repositoriesを選択します)、Finishボタンをクリックします。

image.png

5.スキャンが完了すると、以下のような画面に遷移します。
image.png

以上で、Azure DevOps Cloudとの連携ができました。
次に、リポジトリにシークレットを記載し、スキャンしてみます。

3.Azure DevOps Cloudへのテストシークレットの登録とプッシュ

テストシークレットを登録して、Azure DevOps CloudにPushします。

❗ 本物の鍵は絶対に使用しないでください。本記事のキーはすべて無効なダミーです。

VaultRadarDemo/
└── config.js

config.js

const password = "hunter2";
const dbPassword = "supersecurepassword123";

Azure DevOps Cloudに同期されたことを確認します。
image.png

4.スキャン結果確認

HCP Vault Radarが自動的にスキャンした結果がダッシュボードに表示されます。
image.png

リソース名をクリックすると、詳細情報が確認できます。
image.png

左のメニューで「Events」をクリックすると、検出したシークレット情報がイベント形式で一覧表示されます。
image.png

各イベント行を選択すると、さらに詳細情報が表示されました。また、Remediation(修復措置)についても情報提供があります。
image.png

Context列にあるリンクをすると、Azure DevOps Cloudでソースコードを確認できます。
image.png

最後に

今回は、HCP vault Radarから直接スキャンする形で、Azure DevOps Cloudのデータをスキャンしました。

参考情報

Vault Radar公式ページ(英語)
https://developer.hashicorp.com/hcp/docs/vault-radar

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?