GitHub連携

GitHub Security Alertsとの連携方法

GitHubにはライブラリの脆弱性を検知する機能が標準で提供されています。

• ドキュメント
• Supported package ecosystems

FutureVuls上に指定したGitHubリポジトリで検知された脆弱性を取り込み、FutureVuls上で管理可能です。 連携方法の手順は以下のとおりです。

• GitHub Security Alertsの設定をONにする
• GitHubトークンを発行する
• グループ管理者が、グループ設定>外部連携より、グループに対してGitHubトークンを登録する
• サーバ>詳細より連携したいGitHubの オーナ/リポジトリ名 と、トークンを登録する（実サーバにも、擬似サーバにも紐づけは可能）

具体的な手順は以下の通りです。

• GitHub Security Alertsの設定をONにする

• Personal access tokens (classic) より GitHub のトークンを発行する

  • Scopeには repo（Full control of private repositories）が必要
  • 参考: GitHub「Personal access tokens」の設定方法

Fine-grained personal access tokens (Beta) を設定する場合は以下に注意してください。

• Expiration: 期限が切れてないか
• Resource owner: 対象のリポジトリの所有者(Organization)か
• Repository access: 対象のリポジトリが含まれてるか
• Repository permissions: 以下のスコープがread-only以上か
  • Contents
  • Dependabot alerts
  • Metadata

• グループ管理者権限ユーザが>グループ設定>外部連携より上記で登録したトークンをグループに対して登録する

• サーバ>詳細より、連携したいGitHubリポジトリとトークンを選択する

• 実サーバの場合は次回スキャン時に連携され、擬似サーバの場合は 手動スキャン ボタン押下により即時で反映される

• サーバ>ソフトウェアに該当のライブラリが表示される