GitLab Compliance - ハンズオンラボ: パイプライン実行ポリシー
完了までの推定時間: 15分
目標
CI/CD ジョブが一貫してコンプライアンスに準拠した方法で実行されるようにするために、パイプライン実行ポリシーを通じてジョブ設定を強制できます。このラボでは、プロジェクトでパイプライン実行ポリシーを有効化および設定する練習をします。
タスク A. 標準パイプラインの作成
まず、コンプライアンスプロジェクトで使用する標準パイプラインを作成します。
ILT グループに戻ります。
New project を選択します。
Create blank project を選択します。
プロジェクト名に
CICD Templateと入力します。他のオプションはすべてデフォルトのままにして Create project を選択します。
+ > New file を選択します。
Filename に
.gitlab-ci.ymlと入力します。ファイルに以下の内容を追加します:
stages: - test include: component: ilt.gitlabtraining.cloud/components/sast/sast@main semgrep-sast: rules: - if: $CI_PIPELINE_SOURCE == 'merge_request_event'これらの変更をプロジェクトの main ブランチにコミットします。
この CI/CD 設定には SAST スキャナーが含まれています。これをパイプライン実行ポリシーに追加することで、プロジェクトが常に SAST スキャンを実行するようにできます。これをプロジェクトに設定する方法を見てみましょう。
タスク B. パイプライン実行ポリシーの追加
Compliance projectに戻ります。左サイドバーで Secure > Policies を選択します。
New policy を選択します。
Pipeline execution policy の下にある Select policy を選択します。
Name を
Enforce Securityに設定します。Actions の下で、CICD Template プロジェクトから Inject を選択します。
ファイルパスを
.gitlab-ci.ymlファイルに向けます。すべてのオプションをデフォルトのままにして Configure with merge request を選択します。
Merge を選択します。
Compliance projectプロジェクトに戻ります。これらの変更をテストするために、プロジェクトに変更を加えましょう。
左サイドバーで Code > Repository を選択します。
+ > New file を選択します。
Filename に
test.pyと入力します。内容に以下のコードを追加します:
import hashlib as h
h.md5('1')
Commit changes を選択します。
コミットメッセージに「Added some python code for security scanning to test」などを追加します。
Branch の選択を Commit to a new branch に変更し、新しいブランチに add-code-for-sast という名前を付けます。
Create a merge request for this change が選択されていることを確認して Commit changes をクリックします。
マージリクエストのすべてのオプションをデフォルトのままにして Create merge request をクリックします。
作成されたブランチパイプラインを確認します。
Compliance Projectで定義されていないにもかかわらずsemgrep-sastジョブがあることに注目します。このジョブはパイプライン実行ポリシーから来ています。ポリシーを設定した際に ‘inject’ キーワードを使用したため、パイプラインにジョブを追加できたことに注意してください。代わりに ‘override’ キーワードを使用した場合は、パイプライン内のジョブの代わりにこのジョブが実行されます。マージリクエストに戻ります。SAST スキャナーによって検出された 1 件の新しい脆弱性があることを確認します。
Merge を選択してマージリクエストを完了します。
ラボガイド完了
このラボ演習を完了しました。このコースの他のラボガイドを参照できます。
ご提案はありますか?
ラボに変更を加えたい場合は、マージリクエストで変更内容を送信してください。
