## 概要 IaC セキュリティ静的解析を CI に追加。infra 配下の terraform ファイル変更時に **Trivy(config / misconfig)** でスキャン。NIST 最小コントロール(S4Infra-2)の前倒し。 ## 実装内容 - **Trivy config** でスキャン(tfsec は Trivy 統合で非推奨、#324 ECR image scan とツール集約)。**SARIF → GitHub code scanning**(public repo 無料、Security タブ + PR インライン注釈) - ベースライン: `.trivyignore` で開始、許容指摘を追記管理 - paths-filter は terraform ファイル限定(`infra/**/*.tf` / `infra/**/*.hcl` / `infra/**/*.tfvars` / 当ワークフロー)+ concurrency。`infra/**` 全体だと `infra/docs/` の doc-only(.md)変更で誤発火するため不可 - 重大度しきい値で fail(初期は high+ のみ fail、medium 以下は warn) ## 受入条件 - [ ] terraform ファイル変更 PR でスキャンが実行され high+ 指摘で fail(doc-only .md ではスキップ) - [ ] 結果が確認可能(code scanning or comment) - [ ] 既知許容指摘のベースライン運用が定義済 ## 関連 - 親 tracker: #382 - 関連: S4Infra-2(NIST) - claude-automation: 不適用(case B)
概要
IaC セキュリティ静的解析を CI に追加。infra 配下の terraform ファイル変更時に Trivy(config / misconfig) でスキャン。NIST 最小コントロール(S4Infra-2)の前倒し。
実装内容
.trivyignoreで開始、許容指摘を追記管理infra/**/*.tf/infra/**/*.hcl/infra/**/*.tfvars/ 当ワークフロー)+ concurrency。infra/**全体だとinfra/docs/の doc-only(.md)変更で誤発火するため不可受入条件
関連