Skip to content

infra(security): IaC セキュリティスキャン(tfsec/trivy/checkov)を CI に追加 #384

Description

@win2cot

概要

IaC セキュリティ静的解析を CI に追加。infra 配下の terraform ファイル変更時に Trivy(config / misconfig) でスキャン。NIST 最小コントロール(S4Infra-2)の前倒し。

実装内容

  • Trivy config でスキャン(tfsec は Trivy 統合で非推奨、infra(terraform): Phase 1 Sprint 1 — ECR(tasks-webapi + keycloak-custom)(S1Infra-7) #324 ECR image scan とツール集約)。SARIF → GitHub code scanning(public repo 無料、Security タブ + PR インライン注釈)
  • ベースライン: .trivyignore で開始、許容指摘を追記管理
  • paths-filter は terraform ファイル限定(infra/**/*.tf / infra/**/*.hcl / infra/**/*.tfvars / 当ワークフロー)+ concurrency。infra/** 全体だと infra/docs/ の doc-only(.md)変更で誤発火するため不可
  • 重大度しきい値で fail(初期は high+ のみ fail、medium 以下は warn)

受入条件

  • terraform ファイル変更 PR でスキャンが実行され high+ 指摘で fail(doc-only .md ではスキップ)
  • 結果が確認可能(code scanning or comment)
  • 既知許容指摘のベースライン運用が定義済

関連

Metadata

Metadata

Assignees

No one assigned

    Labels

    area/ci.github/workflows / CI/CD パイプライン変更area/infraAWS インフラ(ECS Fargate / RDS / Keycloak / IAM)変更priority/p2Medium。完了が望ましいが柔軟に判断可task-type:implコード実装が主体のタスク

    Projects

    No projects

    Milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions