脆弱性の説明と解決のセットアップガイド
脆弱性の説明と解決のセットアップガイド
脆弱性の説明(VE)と脆弱性の解決(VR)の機能をローカルでテストおよび開発するためには、いくつかのセットアップ手順が必要です。このガイドには、必要なコンポーネントのセットアップと設定に関する手順が含まれています。
ランナーのセットアップ
脆弱性レポートを生成するには、CI パイプラインを実行する必要があります。以下の手順に従って GitLab Runner をインストールおよび設定してください。
https://gitlab.com/gitlab-org/gitlab-development-kit/blob/main/doc/howto/runner.md
オプションとして、Colima を使用して Docker をインストールすることができます。ドキュメントはこちらにあります。またはこのスニペットの手順に従うこともできます。
脆弱性レポートのセットアップ
VE と VR の機能は SAST の脆弱性で動作するよう設計されています。ローカルテスト用に以下のプロジェクトを 1 つ以上クローンします。
- https://staging.gitlab.com/govern-team-test/oxeye-rulez
- https://gitlab.com/gitlab-org/security-products/tests/webgoat.net
- https://gitlab.com/gitlab-examples/security/security-reports
- https://gitlab.com/gitlab-org/govern/threat-insights-demos/verification-projects/cwe-samples
サンプルプロジェクトのいずれかで main または master ブランチのパイプラインを実行して、脆弱性レポートを生成します。Build > Pipelines > Run Pipeline
パイプラインが完了したら、Secure > Vulnerability Report > 任意の SAST 検出結果 で脆弱性レポートを確認できます。
例:
- 脆弱性レポート: https://gitlab.com/gitlab-org/security-products/tests/webgoat.net/-/security/vulnerability_report
- SAST 検出結果: https://gitlab.com/gitlab-org/security-products/tests/webgoat.net/-/security/vulnerabilities/105323245
AI のセットアップ
GDK から AI 機能へのアクセスを設定するには、こちらの手順に従います。
GitLab チームメンバーのみ:
Duo へのアクセス
ローカルで AI を設定したら、Duo の機能を有効にする必要があります。以下の手順に従って、すべてが正しく設定されていることを確認してください。
GDK をセットアップして実行するには、こちらの手順に従います。
使用方法
設定が完了すれば、任意の SAST 脆弱性に対して Explain with AI ボタンが表示されるはずです。例:https://gitlab.com/gitlab-org/security-products/tests/webgoat.net/-/security/vulnerabilities/105323245
高い信頼度の CWE リストに含まれる任意の SAST 脆弱性に対して Resolve with AI ボタンが表示されるはずです。例:https://gitlab.com/gitlab-org/security-products/tests/webgoat.net/-/security/vulnerabilities/114941072
サポートが必要な場合は、#g_govern_threat_insights_eng_ai にお問い合わせください。
