概要
Code Security は、GitHub のプルリクエストと 2 つの方法で連携します:
これらの機能を有効にするには、リポジトリに必要な GitHub の権限 (Read & Write) があることを確認してください。
GitHub プルリクエスト用に Code Security を設定する
Datadog Code Security を有効化する
Code Security をアプリ内で有効にするには、Code Security ページに移動します。
GitHub アプリの構成
GitHub で Code Security を利用するには、以下のいずれかを行います:
- Datadog 内で GitHub App を作成する。
- すでに Datadog で作成した GitHub App がある場合は、それを更新する。
GitHub App に付与する権限によって、設定できる GitHub 連携機能が決まります。
GitHub App を作成してインストールする
- Datadog で Integrations > GitHub Applications > Add New GitHub Application に移動します。
- GitHub の組織名など、必要な詳細を入力します。
- Select Features で Code Security: Pull Request Review Comments にチェックを入れます。
- Edit Permissions で Pull Requests の権限が Read & Write になっていることを確認します。
- Create App in GitHub をクリックします。
- アプリ名を入力し、送信します。
- Install GitHub App をクリックします。
- アプリをインストールするリポジトリを選択し、Install & Authorize をクリックします。
既存の GitHub App を更新する
- Datadog で Integrations > GitHub Applications に移動し、Code Security に使いたい GitHub App を探します。
- Features タブで Code Security: Pull Request Comments のセクションを確認し、追加の権限が必要かどうかを判断します。必要な場合は Update permissions in GitHub をクリックしてアプリの設定を編集します。
- Repository permissions で Pull Requests のアクセス権限を Read and write に設定します。
- Subscribe to events の項目で、Pull request にチェックを入れます。
リポジトリで Code Security の PR コメントを有効化する
- Datadog で Security > Code Security > Setup に移動します。
- Enable scanning for your repositories で、対象のリポジトリの横にある Edit を選択します。
- Enable Static Analyis をオンに切り替えます。
注: GitHub Actions を使用してスキャンを実行する場合、コメントを表示するには push
イベントでアクションをトリガーしてください。
リポジトリ向けの PR コメント設定を構成する
全リポジトリ向けのグローバル設定、または個別のリポジトリ向けの設定を行うことができます。スキャンの種類ごとにコメントを有効化し、PR コメントが表示される最低重大度のしきい値を設定して、重大度の低い問題に対するコメントを除外することが可能です。
すべてのリポジトリに対して PR コメントを設定する方法:
- Datadog で Security > Code Security > Settings に移動します。
- Repository Settings で Global PR Comment Configuration をクリックします。
- 設定を構成します:
- Enable PR comments for all scan types and severities: すべてのスキャンタイプと重大度に対して PR コメントを適用する場合に有効化します。
- Enable for Static Analysis (SAST): SAST 用の PR コメントを有効化します。有効化した場合、最低重大度のしきい値を指定します。さらに、テストファイルで検出された違反に対するコメントを防ぐため、Exclude PR comments if violations are detected in test files を選択できます。
- Enable for Infrastructure-as-Code (IaC): IaC 用の PR コメントを有効化します。有効化した場合、最低重大度のしきい値を指定します。
- Save をクリックします。
単一のリポジトリに対して PR コメントを設定する方法:
- Datadog で Security > Code Security > Settings に移動します。
- Repository Settings でリポジトリをリストから選択します。
- 設定を構成します:
- Enable PR comments for all scan types and severities: すべてのスキャンタイプと重大度に対して PR コメントを適用する場合に有効化します。
- Enable for Static Analysis (SAST): SAST 用の PR コメントを有効化します。有効化した場合、最低重大度のしきい値を指定します。さらに、テストファイルで検出された違反に対するコメントを防ぐため、Exclude PR comments if violations are detected in test files を選択できます。
- Enable for Infrastructure-as-Code (IaC): IaC 用の PR コメントを有効化します。有効化した場合、最低重大度のしきい値を指定します。
- Block all comments in this repository: グローバル設定を上書きし、このリポジトリでのコメントをすべて無効化します。
- Save Configuration をクリックします。
Datadog から直接脆弱性を修正する
GitHub アプリの Pull Requests 権限が Read & Write に設定されている場合、提案された修正があるすべての静的コード解析 (SAST) の結果でワンクリック修正が有効になります。
脆弱性を修正し、プルリクエストを開くには次の手順に従います。
- Code Security > Repositories に移動します。
- 任意のリポジトリをクリックします。
- リポジトリのページで、Code Vulnerabilities または Code Quality タブをクリックします。
- 違反をクリックします。
- その違反に対して提案された修正が利用可能な場合、サイドパネルの Remediation タブでワンクリック修正を実行できます。