Google Allstar は GitHub のセキュアな運用のためのオープンソース

Google open-sourced Allstar tool to secure GitHub repositories

2021/08/13 SecurityAffairs — Google がオープンソース化した Allstar は、設定ミスを防ぐための一連のセキュリティ・ポリシーを施行することで、GitHub プロジェクトのセキュリティを確保するツールのプロジェクトである。このプロジェクトの説明には、「Allstar は、組織やリポジトリにインストールして、セキュリティ・ポリシーを設定/実施するための GitHub App だ。その目的は、リスクを伴う可能性のある GitHub の設定や、セキュリティのベスト・プラクティスに従わないリポジトリの、ファイル・コンテンツを継続的に監視/検出する点にある。Allstar により、リポジトリのコンプライアンス違反が発見された場合には、課題の作成やセキュリティ設定の復元などのアクションが実行される」と書かれている。

組織やユーザーのアカウントに、このツールをインストールすることで、高度な設定が可能な特定のポリシーを実施でき、また、コミュニティが新しいポリシーを提案するというコントリビューションも実現する。このツールは、OpenSSF OrganizationSecuring Critical Projects Working Group の一環として開発されている。Allstar をインストールすると、リポジトリの管理者は要求されたパーミッションを確認することができる。このツールは、セキュリティ・コンプライアンスを分析するために、大半の設定やファイル・コンテンツにアクセスする。また、課題を作成するための書込みアクセスと、ブロック・アクションを許可するためのチェックも要求する。準拠していないリポジトリが検出されると、Allstar は以下のアクションを実行できる。

・log:ポリシー違反をログに記録し、アプリ・オペレータだけに表示する。
・issue:ポリシーごとに1つの GitHub 課題を作成する。
・fix:ポリシー違反に対処するために GitHub の設定を変更する。

また、Google は今後のツールのリリースに向けて、以下のアクションを提案している。

・block:Allstarは、GitHub Status Check を設定し、チェックが失敗した場合には、リポジトリ内の PR マージをブロックする。
・email: Allstar は、リポジトリ管理者たちにメールを送信する。
・rpc: Allstar は、組織固有のシステムに rpc を送信する。

Google も頑張っていますね。この数ヶ月で、「Google Scorecards は OSS のセキュリティリスクをスキャンする」、「Google が共有する脆弱性のためのオープンソースとは?」、「Google が立ち上げる SLSA はサプライチェーンの完全性を護る新たなフレームワークだ」をポストしましたが、これからの開発形態を支える、とても真摯な取り組みです。この Allstar も含めて、Google への期待は大です。

%d bloggers like this: