概要

Code Security は、GitHub のプルリクエストと 2 つの方法で連携します:

これらの機能を有効にするには、リポジトリに必要な GitHub の権限 (Read & Write) があることを確認してください。

GitHub プルリクエスト用に Code Security を設定する

Datadog Code Security を有効化する

Code Security をアプリ内で有効にするには、Code Security ページに移動します。

GitHub アプリの構成

GitHub で Code Security を利用するには、以下のいずれかを行います:

  • Datadog 内で GitHub App を作成する。
  • すでに Datadog で作成した GitHub App がある場合は、それを更新する。

GitHub App に付与する権限によって、設定できる GitHub 連携機能が決まります。

GitHub App を作成してインストールする

  1. Datadog で Integrations > GitHub Applications > Add New GitHub Application に移動します。
  2. GitHub の組織名など、必要な詳細を入力します。
  3. Select FeaturesCode Security: Pull Request Review Comments にチェックを入れます。
  4. Edit PermissionsPull Requests の権限が Read & Write になっていることを確認します。
  5. Create App in GitHub をクリックします。
  6. アプリ名を入力し、送信します。
  7. Install GitHub App をクリックします。
  8. アプリをインストールするリポジトリを選択し、Install & Authorize をクリックします。
GitHub App インストール画面

既存の GitHub App を更新する

  1. Datadog で Integrations > GitHub Applications に移動し、Code Security に使いたい GitHub App を探します。
    プルリクエスト上の静的コード解析コメントの例
  2. Features タブで Code Security: Pull Request Comments のセクションを確認し、追加の権限が必要かどうかを判断します。必要な場合は Update permissions in GitHub をクリックしてアプリの設定を編集します。
  3. Repository permissionsPull Requests のアクセス権限を Read and write に設定します。
    Pull Requests の Read and write 権限を選択するドロップダウン
  4. Subscribe to events の項目で、Pull request にチェックを入れます。
    プルリクエストのレビューコメント権限を示すチェックボックス

リポジトリで Code Security の PR コメントを有効化する

  1. Datadog で Security > Code Security > Setup に移動します。
  2. Enable scanning for your repositories で、対象のリポジトリの横にある Edit を選択します。
  3. Enable Static Analyis をオンに切り替えます。

注: GitHub Actions を使用してスキャンを実行する場合、コメントを表示するには push イベントでアクションをトリガーしてください。

リポジトリ向けの PR コメント設定を構成する

全リポジトリ向けのグローバル設定、または個別のリポジトリ向けの設定を行うことができます。スキャンの種類ごとにコメントを有効化し、PR コメントが表示される最低重大度のしきい値を設定して、重大度の低い問題に対するコメントを除外することが可能です。

すべてのリポジトリに対して PR コメントを設定する方法:

  1. Datadog で Security > Code Security > Settings に移動します。
  2. Repository SettingsGlobal PR Comment Configuration をクリックします。
  3. 設定を構成します:
    • Enable PR comments for all scan types and severities: すべてのスキャンタイプと重大度に対して PR コメントを適用する場合に有効化します。
    • Enable for Static Analysis (SAST): SAST 用の PR コメントを有効化します。有効化した場合、最低重大度のしきい値を指定します。さらに、テストファイルで検出された違反に対するコメントを防ぐため、Exclude PR comments if violations are detected in test files を選択できます。
    • Enable for Infrastructure-as-Code (IaC): IaC 用の PR コメントを有効化します。有効化した場合、最低重大度のしきい値を指定します。
  4. Save をクリックします。

単一のリポジトリに対して PR コメントを設定する方法:

  1. Datadog で Security > Code Security > Settings に移動します。
  2. Repository Settings でリポジトリをリストから選択します。
  3. 設定を構成します:
    • Enable PR comments for all scan types and severities: すべてのスキャンタイプと重大度に対して PR コメントを適用する場合に有効化します。
    • Enable for Static Analysis (SAST): SAST 用の PR コメントを有効化します。有効化した場合、最低重大度のしきい値を指定します。さらに、テストファイルで検出された違反に対するコメントを防ぐため、Exclude PR comments if violations are detected in test files を選択できます。
    • Enable for Infrastructure-as-Code (IaC): IaC 用の PR コメントを有効化します。有効化した場合、最低重大度のしきい値を指定します。
    • Block all comments in this repository: グローバル設定を上書きし、このリポジトリでのコメントをすべて無効化します。
  4. Save Configuration をクリックします。

Datadog から直接脆弱性を修正する

GitHub アプリの Pull Requests 権限が Read & Write に設定されている場合、提案された修正があるすべての静的コード解析 (SAST) の結果でワンクリック修正が有効になります。

脆弱性を修正し、プルリクエストを開くには次の手順に従います。

  1. Code Security > Repositories に移動します。
  2. 任意のリポジトリをクリックします。
  3. リポジトリのページで、Code Vulnerabilities または Code Quality タブをクリックします。
  4. 違反をクリックします。
  5. その違反に対して提案された修正が利用可能な場合、サイドパネルの Remediation タブでワンクリック修正を実行できます。
PREVIEWING: guacbot/translation-pipeline