はじめに

会社でもプライベートでもMacを使用しており、最近はWindowsでもWSL2でLinux版のHomebrewを導入したりしています。brewコマンドを使っていくにあたり、不要なパッケージが残っていたりするので定期的に掃除しているのですが、毎回コマンドを忘れるのでメモです。また、Homebrew bundle についても記載します。

brew.sh

不要なパッケージの削除

brew leavesを使用します。

$ brew leaves

これによって別のパッケージの依存関係にないパッケージの一覧(≒直接使用しているパッケージ一覧)が出てきます。ので、後は直接使用していないパッケージを削除すればOKです。( ※ Homebrew外で依存関係にあるパッケージがある場合は注意が必要 )

古いバージョンやファイルキャッシュの削除

brew cleanupを使用します。

$ brew cleanup

パッケージの一括管理(追加/削除)

brew bundleを使用することでHomebrewで管理しているパッケージの一括管理ができます。 設定ファイルとしてBrewfileというものを用意すれば一括で追加/削除を行うことができます。 PCの移行時などこれを使用すれば、PCからHomebrewを削除しても安心ですし、移行先のPCでも簡単にパッケージ管理を始められます。

github.com

Brewfileにインストールしたパッケージを書き込む (CaskやApp StoreからインストールするGUIアプリなんかも管理できる)

$ brew bundle dump

Brewfileに書き込まれたパッケージの一括インストール

$ brew bundle <Brewfile>

はじめに

所属会社の業務時間中に外部の技術イベント等に参加した際にレポートやブログの執筆、社内共有を求められることがあると思います。
この時のイベント参加時の観点や記事の内容などについて手元でメモしていたためブログに起こそうと思います。

イベント参加時の観点

イベント参加時の観点について以下2点を意識してイベントに参加すると良いと思います。

1. 所属会社や所属会社の取り組みとの関連
2. 所属会社、所属チーム、個人として今後どう活かしていけるのか

また、記事にする際に便利なので写真は撮れればできるだけ撮っておくと良いと思います。

記事の内容

最後にレポートやブログ、社内共有を行う際の内容について記載します。内容としては以下を記載すると良いと思います。 また、記事の公開や共有は鮮度が命なので、できるだけ早い方が良いです。

1. イベント概要
2. イベント全体を通しての所感
3. セッション(講演)内容
   • 内容
     • 概要
     • スライド/写真/動画等があると尚良い
   • 感想/所感
     • 参加の動機
     • DeepDiveできると良い
       • セッション内容と関連する社内(所属チーム内外、個人)の取組を絡める
       • 所属会社の色が出せると良い
4. 出展紹介
   • 出展物について
   • 出展者と話した内容等

はじめに

あけましておめでとうございます。2022年1発目の記事です。
GitHub Actionsを使用して、以前適当に作成したGo製テストサーバーに対して脆弱性チェックと行いました。

結果は以下です。

github.com

GitHub Actions / Trivy / Dependabot について

GitHub Actionsとは、Githubに組み込まれているCI, CDワークフローを駆動するCI/CDシステムです。

github.co.jp

Trivyとは、リポジトリ(アプリケーションの依存ライブラリ)/コンテナイメージの脆弱性スキャン、Terraform, Kubernetes等の設定ファイルに対するセキュリティ不備検出機能を備えたツールです。

aquasecurity.github.io

Dependabotとは、リポジトリ(アプリケーションの依存ライブラリ)の脆弱性を検知し、それを解決するためのPRを自動で生成してくれるサービスです。特徴としては、GitHubに買収されていることもあり、GitHub Nativeになっており、GitHub Actionsに対しても適用することができます。

Dependabot の設定

Dependabotで go.mod GitHub Actions を対象として脆弱性の検知をDailyで行うように設定しました。 設定についての詳細は以下を参照ください。

docs.github.com

設定ファイルは以下です。非常にシンプルに設定できます。これを .github/dependabot.yaml に記載することで各対象に対して、脆弱性のチェック、PRの生成を行ってくれます。

version: 2
updates:
  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      interval: "daily"
  - package-ecosystem: "gomod"
    directory: "/"
    schedule:
      interval: "daily"

実際に作成されたPRは以下です。

github.com

Trivyの設定

Trivyでは、コンテナイメージのスキャン、リポジトリのスキャン、IaC(Dockerfile, Kubernetes Manifest)のスキャンを行いました。リポジトリのスキャンはDependabotと役割が被ってしまうのではと思うかもしれませんが、対応している機能、カバー範囲が違うので現状は両方設定するのが良さそうに思います。GitHub Actionについては、Trivyを使用したGitHub Actionを公式が用意しているのでこれを使用しています。

github.com

設定は以下です。

コンテナイメージのスキャン

GitHub ActionsでDocker ImageのBuild/Pushを行っているので、その後、PushしたDocker Imageに対してスキャンを行います。

name: Build and push Docker image and Scanning by Trivy vulnerability
on:
  push:
    branches:
      - master
env:
  REGISTRY: ghcr.io
  IMAGE_NAME: ${{ github.repository }}/go-test-server
jobs:
  docker:
    name: Build and push Docker image and Scanning by Trivy vulnerability
    runs-on: ubuntu-latest
    steps:
    - name: Checkout
      uses: actions/checkout@v2.4.0
    - name: Log in to the Container registry
      uses: docker/login-action@v1
      with:
        registry: ${{ env.REGISTRY }}
        username: ${{ github.actor }}
        password: ${{ secrets.GITHUB_TOKEN }}
    - name: Extract metadata (tags, labels) for Docker
      uses: docker/metadata-action@v3
      with:
        images: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}
        tags: |
          type=sha
      id: meta
    - name: Build and push Docker image
      uses: docker/build-push-action@v2
      with:
        context: .
        push: true
        tags: ${{ steps.meta.outputs.tags }}
        labels: ${{ steps.meta.outputs.labels }}
    - name: Run Trivy vulnerability scanner
      uses: aquasecurity/trivy-action@master
      with:
        image-ref: '${{ steps.meta.outputs.tags }}'
        format: 'template'
        template: '@/contrib/sarif.tpl'
        output: 'trivy-results.sarif'
    - name: Upload Trivy scan results to GitHub Security tab
      uses: github/codeql-action/upload-sarif@v1
      with:
        sarif_file: 'trivy-results.sarif'

steps.metaでtagの指定を行い、GitHub Container RegistryにPushしています。このときPushしたものと同様のDocker ImageをTrivyで参照するため、image-ref に '${{ steps.meta.outputs.tags }}' を設定しています。 因みに上記の設定ではDocker Imageのtag設定は sha-<commit hash : 7> になります。

PushしたDocker Imageは以下にあります。

github.com

リポジトリのスキャン

「コンテナイメージのスキャン」と違い前後のstepに依存する設定はないので該当部分抜粋となります。

- name: Run Trivy vulnerability scanner in repo mode
      uses: aquasecurity/trivy-action@master
      with:
        scan-type: 'fs'
        ignore-unfixed: true
        format: 'template'
        template: '@/contrib/sarif.tpl'
        output: 'trivy-results.sarif'
        severity: 'CRITICAL'
    - name: Upload Trivy scan results to GitHub Security tab
      uses: github/codeql-action/upload-sarif@v1
      with:
        sarif_file: 'trivy-results.sarif'

IaC(Dockerfile, Kubernetes Manifest)のスキャン

「リポジトリのスキャン」同様、該当部分抜粋となります。

- name: Run Trivy vulnerability scanner in IaC mode
      uses: aquasecurity/trivy-action@master
      with:
        scan-type: 'config'
        hide-progress: false
        format: 'table'
        exit-code: '1'
        ignore-unfixed: true
        severity: 'CRITICAL,HIGH'

    - name: Upload Trivy scan results to GitHub Security tab
      uses: github/codeql-action/upload-sarif@v1
      with:
        sarif_file: 'trivy-results.sarif'

終わりに

最近、業務で手を動かせていないのでリハビリとして触りたかったツールを触れたのでよかったです。 近々、他のリポジトリに対しても適用していきたいと思います。また、業務ではGitLabを使っているため(メリデメはありますが)、個人的にはGitHub ActionsとDependabotが使いやすいため、やはりGitHubの方が楽だなと感じました。

今後は、この辺りをもっとDeepに使っていきたいのとPolicy as Code(OPA, Rego)、Renovate周りが個人的に熱いのでプライベートで触っていき業務に活かせればと思います。