GitHubリポジトリ上にあるソースコードの脆弱性を検出して自動修正までしてくれる「Shieldfy」

2020/03/06 01:21

Shieldfy
https://app.shieldfy.io/

Shieldfyの特徴

「Shieldfy」は、プログラミングコードの脆弱性を検出し、自動修正してくれるセキュリティアシスタントサービスです。

この領域でメジャーなサービスであるSnykが、依存関係の脆弱性(サードパーティライブラリ)にフォーカスしているのに比べて、Shieldfyはさらにコードの脆弱性まで診断してくれる点が大きな特徴です。

無料でどこまでできるか

パブリックリポジトリであれば、上限なく利用可能。

脆弱性診断を開始

サインアップには、GitHubアカウントが必要です。診断に使うリポジトリへの権限があるアカウントで進めてください。

サインアップが完了すると、ナビゲーションに沿って診断するプロジェクトを指定していきます。なお、現在はNodejsとTypeScriptのリポジトリのみ診断が可能。

リポジトリを選択し「Select」で完了します。

プロジェクトのセットアップとともに、即時診断が開始され、結果がホーム画面に表示されます。

指摘された脆弱性は、このようにIssuesにまとめられ一覧で見ることができます。

具体的に指摘内容を見たい場合は、deitalsをクリックすると

詳細なレポートを読むことができます。

脆弱性を自動修正する

今回指摘された2件の脆弱性をQuick fixで自動修正していきます。

なお、Shieldfyが修正したコードをプルリクエストできるように、専用のアプリケーションをインストールする必要があります。

あとは、コードが自動修正されるまで待機。

作業が終わると、このようにGitHub上にプルリクエストが届きます。あとはいつも通りマージ作業を行ってください。

最後に、Shieldfy上のリスキャンを実行して

脆弱性のIssueが消え、クリーンな状態になったのを確認して完了です。

Shieldfy
https://app.shieldfy.io/

appstore
googleplay
会員登録
URLからPICKする

会員登録して、もっと便利に利用しよう

  • 1.

    記事をストックできる
    気になる記事をPickして、いつでも読み返すことができます。
  • 2.

    新着ニュースをカスタマイズできます
    好きなニュースフィードをフォローすると、新着ニュースが受け取れます。