nik/newdwh2021
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
newdwh2021/vulnerability-scan
History

README.md

脆弱スキャン用ツール

前提

  • docker cliインストール済み
  • AWS CLIインストール済み
  • AWS CLIでアカウント情報設定されていること

実行方法

ECRをビルド、タグ、プッシュする

  • vulnerability-scanの直下フォルダで以下コマンド実行する
bash build-push-scanpoint.sh
  • 実行したコマンド失敗したとき、スクリプトが停止する
  • その場合はbuild-push-scanpoint直下から失敗したコマンド単体実行できる
  • 例:bash dataimport.sh
  • スクリプトを強制停止したい場合、Ctrl + Cで停止できる

ビルドしたECRをlatestに再タグ、プッシュする

  • 前提:プッシュしたscan-point ECRを動作確認済
  • vulnerability-scanの直下フォルダで以下コマンド実行する
bash retag-push-latest.sh
  • 実行したコマンド失敗したとき、スクリプトが停止する
  • その場合はretag-push-latest直下から失敗したコマンド単体実行できる
  • 例:bash retag-dataimport.sh
  • スクリプトを強制停止したい場合、Ctrl + Cで停止できる

フォルダ構成

├── build-push-scanpoint.sh -- 全ECRモジュールをアップデート、Dockerイメージにビルドし、プッシュするスクリプト ├── retag-push-latest.sh -- ビルドしたDockerイメージをlatestの再タグして、ステージング環境と本番環境にプッシュするスクリプト ├── README.md -- 当ファイル ├── build-push-scanpoint
│ ├── dataimport.sh -- データ登録機能のアップデートスクリプト │ ├── sap-data-decrypt.sh -- SAPデータ登録 SAPデータ復号化機能アップデートスクリプト │ ├── check-view-security-option.sh -- Viewセキュリティオプションチェック機能アップデートスクリプト │ ├── crm-datafetch.sh -- CRMデータ連携 CRMデータ取得機能アップデートスクリプト │ ├── jskult-dbdump.sh -- 実消化&アルトマーク日次バッチ実行前dump取得機能アップデートスクリプト │ ├── jskult-batch-daily.sh -- 実消化&アルトマーク日次バッチ機能アップデートスクリプト │ ├── jskult-batch-laundering.sh -- 実消化&アルトマーク週次バッチ機能アップデートスクリプト │ ├── jskult-webapp.sh -- 実消化&アルトマークWebアプリケーションアップデートスクリプト | └── export-dbdump.sh -- DBダンプ取得機能アップデートスクリプト └── retag-push-latest
├── retag-dataimport.sh -- データ登録機能の再タグ本番環境にプッシュスクリプト ├── retag-sap-data-decrypt.sh -- SAPデータ登録 SAPデータ復号化機能再タグ本番環境にプッシュスクリプト ├── retag-check-view-security-option.sh -- Viewセキュリティオプションチェック機能再タグ本番環境にプッシュスクリプト ├── retag-crm-datafetch.sh -- CRMデータ連携 CRMデータ取得機能再タグ本番環境にプッシュスクリプト ├── retag-jskult-dbdump.sh -- 実消化&アルトマーク日次バッチ実行前dump取得機能再タグ本番環境にプッシュスクリプト ├── retag-jskult-batch-daily.sh -- 実消化&アルトマーク日次バッチ機能再タグ本番環境にプッシュスクリプト ├── retag-jskult-batch-laundering.sh -- 実消化&アルトマーク週次バッチ機能再タグ本番環境にプッシュスクリプト ├── retag-jskult-webapp.sh -- 実消化&アルトマークWebアプリケーション再タグ本番環境にプッシュスクリプト └── retag-export-dbdump.sh -- DBダンプ取得機能再タグ本番環境にプッシュスクリプト

作成方法とタイミング

  • 本番リリース済みのECRリポジトリに対して脆弱性スキャン対象になるため、リリース済のECRにスクリプト作成する
  • vulnerability-scan/build-push-scanpoint/dataimport.sh を参考にしてスクリプト実装する
  • 実装したスクリプトを親スクリプトvulnerability-scan/build-push-scanpoint.shに追加する
  • vulnerability-scan/retag-push-latest/-retag-dataimport.sh を参考にしてスクリプト実装する
  • 実装したスクリプトを親スクリプトvulnerability-scan/retag-push-latest.shに追加する