OPA/Regoによる汎用的なGo言語の静的解析
TL; DR Go言語は様々な静的解析ツールがあるが、独自ルールのチェックなどをするには都度ツールを自作する必要がある 1つのツールでより汎用的なチェックができるように、汎用ポリシー言語のRegoでGo言語のAST(抽象構文木)を検査できるようにした 「第一引数に必ずcontext.Contextをとる」というルールをCIでチェックした様子 背景 Go言語では様々な静的解析ツールが提供されており、一般的なベストプラクティスが正しく記述されているか?については既存の静的解析ツールを利用することで概ね必要なチェックをすることができます。例えばセキュアなGoのコーディングをするためのツールとして gosec などがあり、自分も愛用させてもらっています。しかし、ソフトウェア開発におけるコーディング上のルールはベストプラクティスによるものだけでなく、そのソフトウェアやチームに依存したルールというのも
Policy as Code を実現する Open Policy Agent に憧れて。ポリシーコードでAPI仕様をLintする | フューチャー技術ブログ
Policy as Code を実現する Open Policy Agent に憧れて。ポリシーコードでAPI仕様をLintする はじめにこんにちは、TIG DXユニット真野です。 CNCF連載2回目はOpen Policy Agent がテーマです。前回は伊藤さんによる、k3sを知る、動かす、感じるでした。 https://www.openpolicyagent.org/ Open Policy AgentとはOpen Policy Agent(OPA)は汎用的なポリシーエンジンで、Rego と呼ばれるポリシー言語で定義されたルールに従って、入力がポリシーに沿っているか否かの判定を移譲させることができます。Regoで宣言的にポリシーを実装し、Policy as Code を実現できます。 OPAは汎用的というだけあって、Kubernetes上でしか動かせないと言った制約は無いです。Go言
GitHub - fugue/regula: Regula checks infrastructure as code templates (Terraform, CloudFormation, k8s manifests) for AWS, Azure, Google Cloud, and Kubernetes security and compliance using Open Policy Agent/Rego
Regula is a tool that evaluates infrastructure as code files for potential AWS, Azure, Google Cloud, and Kubernetes security and compliance violations prior to deployment. Regula supports the following file types: CloudFormation JSON/YAML templates Terraform source code Terraform JSON plans Kubernetes YAML manifests Azure Resource Manager (ARM) JSON templates (in preview) Regula includes a library
OPA/Regoを活用して継続的監査を実現して、楽をしよう | Money Forward Kessai TECH BLOG
あけましておめでとうございます。Open Policy Agent(以下OPA)/Rego x 監査で継続的監査をあたりまえにしていきたいと思っているMoney Forward Kessai(以下MFK)のshinofaraです。 Regoとは、OPAのポリシーを記述する言語です。 本日はOPA / Rego Advent Calendar 2021の影響を受けて、MFKでOPA/Regoを活用して実現している監査に関することの1つを紹介できればと思いブログを書き始めました。 そもそもOPAって何?に関しては、以下のZennに詳しく書かれておりますので、こちらのブログでは割愛させていただきます。 OPA/Rego入門: OPA/Regoとはなんなのか MFKではOPAで何をチェックしているか 昨年「2021年に入ってやめた3つの開発に関わる仕組み」を書かせていただきました。今回はその中で書
OPA/Rego入門
情報セキュリティの分野で注目されている汎用的なポリシーエンジンOPAと、OPAで利用するポリシー記述言語Regoについて解説します
Policy as Codeを実現する Open Policy Agent / Rego の紹介 - 電通総研 テックブログ
こんにちは、Xイノベーション本部の柴田です。 このポストは 電通国際情報サービス Advent Calendar 2021 の5日目のポストです。 4日目のポストは加納さんの「リアルタイムレンダラーP3Dのご紹介」でした。 さて、このポストではOpen Policy Agentとポリシー言語Regoの紹介をしたいと思います。 前半ではRegoの文法を簡単に説明します。 後半では私がOpen Policy AgentとRegoを実際に使っていてハマった点をいくつかご紹介します。 このポストを読んでくださる方の役に立てば幸いです。 Open Policy Agentとは Regoとは まずは動かしてみる 設問 構造化データ(input.json) ポリシー(example.rego) 検証 Regoの文法 本章で扱う構造化データ 変数 変数の束縛 配列、集合、オブジェクトへのアクセス ルール
汎用的なポリシーエンジン Open Policy Agent (OPA) とそれを記述するポリシー言語 Rego に関する記事ならなんでもOKなアドベントカレンダーです。 https://www.openpolicyagent.org/ 追記:本アドベントカレンダーの一部をzenn.devで本にしました https://zenn.dev/mizutani/books/d2f1440cfbba94
Policy Language
OPA is purpose built for reasoning about information represented in structured documents. The data that your service and its users publish can be inspected and transformed using OPA’s native query language Rego. What is Rego?Rego was inspired by Datalog, which is a well understood, decades old query language. Rego extends Datalog to support structured document models such as JSON. Rego queries are
Open Policy Agent Rego Knowledge Sharing Meetupを開催しました #opa_rego | メルカリエンジニアリング
Open Policy Agent Rego Knowledge Sharing Meetupを開催しました #opa_rego はじめに こんにちは、メルカリMicroservices Platform Group Infra Teamの @keke です。 7月7日にメルカリ主催のOpen Policy Agent Rego Knowledge Sharing Meetupをオンライン配信にて開催しました。 この記事では、当日の各発表を簡単に紹介します! 動画もアップロードされてますので、こちらもぜひご覧ください。 OPA and cloud resources 1つ目のセッションはメルカリ Platform Group Infra Teamの@toshi0607 さんによる「OPA and cloud resources」です。メルカリではCloud resourceをTerrafo
Policy as Code 入門 セキュリティ・キャンプ 2023 Webセキュリティクラス 2023.8.10 13:30〜17:30
はじめに この記事はCyberAgent Group SRE Advent Calendar 2023の18日目の記事です。 Open Policy Agent(OPA)は、JSONやYAMLベースのInfrastructure as Code(IaC)管理において、近年広く用いられるようになっています。特に、Kubernetesのマニフェストに対するOPAとGateKeeperの導入が標準化されつつあります。一方で、Terraformのような、複雑なクラウドインフラの記述に長けたツールとの統合は、まだ挑戦的であり、実際の連携例は少ない状況です。Terraform CloudやStyraとの組み合わせでの利用事例は存在しますが、純粋なTerraform環境(例えば、バックエンドがS3の場合)でのOPAの活用は、まだそれほど多くはありません。この記事では、Terraform環境でのOPAのユ
この記事はOPA/Regoアドベントカレンダーの19日目です。 今回は GitHub Actions で Trivy を用いてOSSパッケージの脆弱性検査をした際に、カスタムポリシーによってCIを落とすような仕組みについて紹介[1]します。 もともとコンテナイメージの脆弱性スキャナとして開発されていたTrivyですが、最近はファイルシステムにあるパッケージシステムの脆弱性をスキャンする機能も実装されています。この機能を利用したGitHub Actionsも提供されており、自分が開発してるリポジトリで利用している外部パッケージにどのような脆弱性が含まれているかを簡単に調べることができるようになっています。 またTrivy自体のオプションも多彩で、終了時に異常終了(exit codeが非ゼロ)しGitHub Actionsを失敗させ、CIを止めることもできます。例えば一定以下のSeverity
Regoの基礎(Safety)
package example p := { "blue": 1, "red": 0, "yellow": 2, } result[x] { not p[x] == 0 } % opa eval -b . data { "errors": [ { "message": "var x is unsafe", "code": "rego_unsafe_var_error", "location": { "file": "example.rego", "row": 9, "col": 5 } } ] } OPAはルールが有限個の入力と出力を持つことを保証するために Safety という概念を持っています。ちゃんと定義された変数のみが ドキュメントでは "Safety" は以下のように定義されています。 Safety: every variable appearing in the head or
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OPA / Rego Advent Calendar 2021 - Adventar
セキュリティ・キャンプ2023:B7 Policy as Code入門
TerraformにおけるOPAのユースケース - Qiita
GitHub Action で Trivy + OPA/Rego による脆弱性管理