0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

今日から始めるセキュリティシフトレフト on AWS ③AWS CodeBuild+SASTツールでアプリケーションの脆弱性解析をする

Posted at

はじめに

セキュリティシフトレフト記事第三弾。

前回は、AWS CodeBuildのバッチビルドでDockerfileとコンテナイメージの脆弱性検査についての実施方法をまとめた。

今回は、並行して実施するアプリケーションの脆弱性解析について考察する。

ビルドグラフ2.png

SASTツールについて

SAST(Static Application Security Testing)とは、名前の通りアプリケーションのセキュリティ検査を静的解析で実施することを指す。

基本的にそのアプリケーションの開発言語に従ったテストツールを用いて実施する。

今回は、Golangで例を挙げて解説をするが、代表的な言語では以下のようなSASTツールがあるので、それぞれプロジェクトに合わせて選択をしていただきたい。
なお、記事を執筆している2024年9月時点のトレンドに合わせて記載しており、セキュリティシフトレフトは日々進化しているので、導入時の最新トレンドを確認する方がより効果を高められる。

開発言語 ソースコード脆弱性解析 依存関係脆弱性解析
Java FindBugs
SonarQube
OWASP Dependency Check
Golang securego/gosec(Go Security Checker) govulncheck
Python Bandit pip-audit
Javascript/TypeScript eslint-plugin-security npm(npm audit)

AWS CodeBuildでSASTツールを実行する

前回の記事の以下の章で記載した、11_golangci_lint.yml の内容を記載していく。
と言っても、そんなに難しいことはなく、普通にinstallフェーズでSASTツールをインストールして実行すれば良い。

11_golangci_lint.yml
version: 0.2

phases:
  install:
    runtime-versions:
      golang: 1.21
    commands:
      # install golangci-lint
      - VERSION=$(curl --silent "https://api.github.com/repos/golangci/golangci-lint/releases/latest" | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/\1/')
      - wget -q https://raw.githubusercontent.com/golangci/golangci-lint/master/install.sh -O - | sh -s -- -b $(go env GOROOT)/bin v${VERSION}
      - ln -s $(go env GOROOT)/bin/golangci-lint /root/.goenv/shims/golangci-lint
      # install govulncheck
      - go install golang.org/x/vuln/cmd/govulncheck@latest
  build:
    commands:
      - cd src_go
      - golangci-lint run --timeout=2m --out-format=json --enable=gosec ./...  | jq .
      - govulncheck --format json ./...

securego/gosec(Go Security Checker)

gosecは、ソースコードに埋め込まれた脆弱性を静的解析で摘出するツールだ。

たとえば、変数にクレデンシャル情報を格納した場合は以下のように指摘をしてくれる。

{
  "Issues": [
    {
      "FromLinter": "gosec",
      "Text": "G101: Potential hardcoded credentials",
      "Severity": "",
      "SourceLines": [
        "\tgitlabCredentials := \"glpat-xxxxxxxxxxxxxxxxxxxx\""
      ],
      "Replacement": null,
      "Pos": {
        "Filename": "main.go",
        "Offset": 0,
        "Line": 49,
        "Column": 2
      },
      "ExpectNoLint": false,
      "ExpectedNoLintLinter": ""
    }
  ]
}

その他のチェックの詳細は公式のGitHubに検査内容が記載されているため確認いただきたい。

今回、gosecを直接実行するのではなく、他にも様々なチェックを同時に実行してくれるgolangci-lintに組み込まれているものを使用して、他の項目もまとめて検査をする。gosecはデフォルトでの検査対象になっていないため、--enable=gosecで有効化しよう。

基本的にgolangci-lintを使っている場合はプロジェクト単位に細かくチューニングをしていると思われるので、Configファイルでの有効化になると思われる。

--timeout=2m は、デフォルトが1分で、AWS CodeBuildのスペック次第ではgolangci-lintがタイムアウトしがちなので、適当に延ばしておく。

govulncheck

govulncheckは、Golang公式の脆弱性管理でも利用を推奨されているツールだ。
Go Security Teamが管理しているGo vulnerability databaseとの突き合せを行い、依存関係パッケージの脆弱性検査を行う。

--format jsonすると、exitコードが必ず0になってしまうため融通が利きにくいが、govulncheckで検出される脆弱性は「Golangのメジャーバージョンアップ」でしか解消しないものがあり、それはそれでハードルが高いため、検出された内容を確認しながら対処要否を検討することになるだろう。

たとえば、go:1.21で検出される以下の脆弱性について、

Vulnerability #1: GO-2024-3106
    Stack exhaustion in Decoder.Decode in encoding/gob
  More info: https://pkg.go.dev/vuln/GO-2024-3106
  Standard library
    Found in: encoding/gob@go1.21.7
    Fixed in: encoding/gob@go1.22.7
    Example traces found:
      #1: main.go:32:14: GoPipeline.main calls lambda.Start, which eventually calls gob.Decoder.Decode

More infoの参照先を確認すると、

Calling Decoder.Decode on a message which contains deeply nested structures can cause a panic due to stack exhaustion. This is a follow-up to CVE-2022-30635.

と書かれていて、Decoder.Decodeに深いネストの構造を食わせなければ問題ないことが分かるため、アプリケーションがそのような作りになっていなければ無視できる、と考えられる。

その他、コンテナビルド前に何をすべきか

実際にプロジェクトで運用する場合は、コンテナビルド前にgo testを実行してアプリケーションがデグレードしていないことを検査しておこう。

テストについてはセキュリティシフトレフトのコンテキストからは外れるため、本記事では省略するが、GolangにおけるAWS CodeBuildのテストのノウハウは以下の記事でまとめているため、必要に応じて参照いただきたい。

これで、アプリケーションについてもビルド前に安全性を担保できるようになった!

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?