ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Security から VS Code 用の AppSec エクステンションがリリースされました!

AWS Orca Security AppSec Shift Left

こんにちは、Orca Security 担当の尾谷です。

Orca Security - AppSec for VS Code がリリースされました。

Orca をお使いの方の中には、「リスク検出に時間がかかる」「CI/CD でのスキャン前にコーディング時に確認できたら」と思われた方も多いのではないでしょうか。

この機能を使えば、コードエディタ上で脆弱性がその場で警告されるため、すぐに問題を把握して修正に取りかかれます。

この記事を読むと

  • VS Code で Orca のセキュリティチェックを使う方法がわかる
  • コーディング中にリスクを即発見する方法がわかる
  • シークレット流出などのヒューマンエラーを減らす方法がわかる

AppSec とは

AppSec とは、ソフトウェアライフサイクル (Software Development Life Cycle) の左側で、デプロイ前にリスクを検出して対処する仕組みのことです。
これまでのサービスは、リリースしてからアラートを検知し、問題に気づいて、後ろ向きの対応をしてきましたが、AppSec を導入することで、リリース前に問題を解決します。

VS Code にインストールしてみる

早速、VS Code に本機能をインストールしてみました。

  1. エクステンション (拡張機能) から、検索ボックスに「Orca Security 」と入力して検索します。すると、Orca Security... が候補の一番上に表示されました。
  2. [インストール] ボタンをクリックすると、発行元の "Orca Secutiry" を信頼しますか?と表示されました。ドキュメントに記載されている通り、[発行元を信頼してインストールする] をクリックします。
  3. インストールが完了すると、左側のペインに Orca のアイコンが追加されます。クリックして開くと [Provide Your API Token] ボタンがあります。
    API トークンを入力することで、Orca CLI がローカルで利用できるようになります。

Kiro にインストールしてみる

少し話は逸れますが、AWS がリリースした Kiro というエディタに本エクステンションをインストールしてみましたが、API Token を入れることができず、コマンドが空振りして利用できませんでした。
対応に期待したいところです!

[Provide Your API Token] ボタンが表示されず、動きませんでした。

Orca テナントで API Token を発行

AppSec エクステンションに設定する API トークンを Orca テナントから発行します。

  1. Orca Cloud Security Platform にログインし、Settings を開きます。
  2. Integrations から、[See API Token]API Token をクリックします。
  3. [Add API Token] ボタンをクリックして、トークンを追加します。
  4. 発行された API トークンは画面を閉じると参照できなくなるのでご注意ください!

VS Code で API トークンを設定する

API トークンが発行できたら、Orca の AppSec エクステンションに設定します。

1 . VS Code に戻り [Provide Your API Token] ボタンをクリックします。

2. 上部のテキストボックスに先の手順で発行した API トークンを入力します。 3. すると、Kiro で設定した画面と同じになり、AppSec エクステンションが利用できる状態になります。

Orca CLI をインストールする

実際にスキャンするのは Orca CLI というツールです。
Orca CLI をインストールしないままボタンをクリックしても、スキャンされず、結果も表示されません。

Mac の場合は、brew コマンドが用意されています。
パッケージのインストール方法などもドキュメントに記載されています。

brew install orcasecurity/orca-cli/orca-cli

スキャン機能を試してみる

スキャンするための前準備

少し長くなったので、スキャンするまでに必要な手順をまとめておきます。

  • VS Code の拡張機能から「Orca Security - AppSec for VS Code」をインストールする
  • Orca テナントで API トークンを発行し、AppSec エクステンションに設定する
  • Orca CLI をインストールする

(順不同です。詳細はブログを最初からお読みください。)

スキャン!

設定ができたので、早速、スキャン機能を試してみたいと思います。
簡単な Python のじゃんけんプログラムをスキャンしてみます。

スキャンは、右下の Orca Security ボタンをクリックするか、

または「Run Scan」をクリックして実行します。

ボタンをクリックすると、脆弱性チェック、シークレットチェック、IaC コードチェック、SAST チェックが実行され、

脅威が検出されなければ「No Security Issues Found」が表示されます。

リスクを検出させてみる

ただのじゃんけんプログラムなのでリスクが検出されなくて当然ですが、ここに API トークンを入れてみたいと思います。
Orca Security で仮の API トークンを発行して、変数に格納しました。

コードに API トークンを直書きしました!

すると、HIGH Issue としてシークレットを検出しました。
Orca Security API Token がコーディングされていることを指摘されました。

仮の API トークンを無効化

前の手順で変数として登録して API トークンを Orca テナントから無効化しました。
そして、再度スキャンしてみると、なんと、リスクが INFO レベルまで下がりました。
リアルタイムでリスクを優先づけしてくれるところが素晴らしいですね。

まとめ

VS Code 用の AppSec エクステンションを試してみました。 Orca Cloud Security Platform をお使いの方は、ぜひ本機能も活用してみてください。