概要

Code Security は、GitHub のプルリクエストと 2 つの方法で連携します:

• 違反を示すプルリクエストコメント

• Datadog から直接イシューを修正するためのプルリクエストを作成: Datadog が提案するコード修正を元に、セキュリティ脆弱性やコード品質の問題を修正するプルリクエストを UI から作成できます。これは静的コード解析 (SAST) のみで利用できます。

これらの機能を有効にするには、リポジトリに必要な GitHub の権限 (Read & Write) があることを確認してください。

GitHub プルリクエスト用に Code Security を設定する

Datadog Code Security を有効化する

Code Security をアプリ内で有効にするには、Code Security ページに移動します。

GitHub アプリの構成

GitHub で Code Security を利用するには、以下のいずれかを行います:

• Datadog 内で GitHub App を作成する。
• すでに Datadog で作成した GitHub App がある場合は、それを更新する。

GitHub App に付与する権限によって、設定できる GitHub 連携機能が決まります。

GitHub App を作成してインストールする

1. Datadog で Integrations > GitHub Applications > Add New GitHub Application に移動します。
2. GitHub の組織名など、必要な詳細を入力します。
3. Select Features で Code Security: Pull Request Review Comments にチェックを入れます。
4. Edit Permissions で Pull Requests の権限が Read & Write になっていることを確認します。
5. Create App in GitHub をクリックします。
6. アプリ名を入力し、送信します。
7. Install GitHub App をクリックします。
8. アプリをインストールするリポジトリを選択し、Install & Authorize をクリックします。

既存の GitHub App を更新する

1. Datadog で Integrations > GitHub Applications に移動し、Code Security に使いたい GitHub App を探します。

2. Features タブで Code Security: Pull Request Comments のセクションを確認し、追加の権限が必要かどうかを判断します。必要な場合は Update permissions in GitHub をクリックしてアプリの設定を編集します。
3. Repository permissions で Pull Requests のアクセス権限を Read and write に設定します。

4. Subscribe to events の項目で、Pull request にチェックを入れます。

リポジトリで Code Security の PR コメントを有効化する

1. Datadog で Security > Code Security > Setup に移動します。
2. Enable scanning for your repositories で、対象のリポジトリの横にある Edit を選択します。
3. Enable Static Analyis をオンに切り替えます。

注: GitHub Actions を使用してスキャンを実行する場合、コメントを表示するには push イベントでアクションをトリガーしてください。

リポジトリ向けの PR コメント設定を構成する

全リポジトリ向けのグローバル設定、または個別のリポジトリ向けの設定を行うことができます。スキャンの種類ごとにコメントを有効化し、PR コメントが表示される最低重大度のしきい値を設定して、重大度の低い問題に対するコメントを除外することが可能です。

すべてのリポジトリに対して PR コメントを設定する方法:

1. Datadog で Security > Code Security > Settings に移動します。
2. Repository Settings で Global PR Comment Configuration をクリックします。
3. 設定を構成します:
   • Enable PR comments for all scan types and severities: すべてのスキャンタイプと重大度に対して PR コメントを適用する場合に有効化します。
   • Enable for Static Analysis (SAST): SAST 用の PR コメントを有効化します。有効化した場合、最低重大度のしきい値を指定します。さらに、テストファイルで検出された違反に対するコメントを防ぐため、Exclude PR comments if violations are detected in test files を選択できます。
   • Enable for Infrastructure-as-Code (IaC): IaC 用の PR コメントを有効化します。有効化した場合、最低重大度のしきい値を指定します。
4. Save をクリックします。

単一のリポジトリに対して PR コメントを設定する方法:

1. Datadog で Security > Code Security > Settings に移動します。
2. Repository Settings でリポジトリをリストから選択します。
3. 設定を構成します:
   • Enable PR comments for all scan types and severities: すべてのスキャンタイプと重大度に対して PR コメントを適用する場合に有効化します。
   • Enable for Static Analysis (SAST): SAST 用の PR コメントを有効化します。有効化した場合、最低重大度のしきい値を指定します。さらに、テストファイルで検出された違反に対するコメントを防ぐため、Exclude PR comments if violations are detected in test files を選択できます。
   • Enable for Infrastructure-as-Code (IaC): IaC 用の PR コメントを有効化します。有効化した場合、最低重大度のしきい値を指定します。
   • Block all comments in this repository: グローバル設定を上書きし、このリポジトリでのコメントをすべて無効化します。
4. Save Configuration をクリックします。

Datadog から直接脆弱性を修正する

GitHub アプリの Pull Requests 権限が Read & Write に設定されている場合、提案された修正があるすべての静的コード解析 (SAST) の結果でワンクリック修正が有効になります。

脆弱性を修正し、プルリクエストを開くには次の手順に従います。

1. Code Security > Repositories に移動します。
2. 任意のリポジトリをクリックします。
3. リポジトリのページで、Code Vulnerabilities または Code Quality タブをクリックします。
4. 違反をクリックします。
5. その違反に対して提案された修正が利用可能な場合、サイドパネルの Remediation タブでワンクリック修正を実行できます。