TakumiをSlackに招待する
本機能は、現在一部の組織でのみご利用いただけます。
Takumiとは
Takumiは、プロダクトエンジニアやセキュリティエンジニアをサポートするために作られたAIエージェントです。Slackワークスペース内で、脆弱性の特定と修正、検出結果のトリアージ、セキュアな設計の支援を行います。
Slackをお使いでない場合は、Shisho Cloud byGMOでTakumiとチャットする方法をご確認ください。
TakumiをSlackに招待するために必要な設定
Slack上でTakumiがGitHub上のプライベートなリポジトリの診断を可能にするためには「設定 > サービス連携」のタブにて、「Slack連携」と「GitHub連携」をした後、各 Slack チャンネル毎のデータスコープの設定(/takumi-scopes)が必要です。
Slack経由でTakumiがGitHub上のプライベートリポジトリを診断できるようにするには、「設定 > サービス連携」タブで「Slack連携」と「GitHub連携」を行い、その後Slackチャンネルごとにデータスコープを設定する必要があります(/takumi-scopes
)。
1. Slack連携の設定方法
TakumiはSlackワークスペースにSlack Appとして招待する必要があります。 Slackワークスペースの連携は「設定 > インテグレーション > Takumi連携」から行えます:
「Set up a new Slack workspace」をクリックすると、Slackが提供する画面に遷移します。 内容をよく確認して、「Allow」を押下してください:
押下後、SlackワークスペースとShisho Cloud byGMOとの連携が完了します。 成功していれば、該当のSlackワークスペースが下記のように表示されるはずです:
本操作の実施時には、Slackワークスペースのオーナーの承認が要求される場合があります。 その場合は Slackワークスペースのオーナーに連絡を取り、Slack App の承認を依頼してください。
Slack App の連携が承認された後は、再度 Slackワークスペースと Shisho Cloud byGMO の連携処理を、Shisho Cloud byGMO画面側から実施してください。
Slack連携に問題がある場合は「Slack連携に関して」を確認するか、Slackのヘルプセンターをご確認ください。
2. GitHub連携の設定方法
GitHub組織にTakumiを連携すると、Takumiはプライベートリポジトリも診断可能になります。「外部連携を設定する > GitHub」のガイドを参考に、GitHubとの外部連携を設定しましょう。
Slack連携とGitHub連携が完了したら、Takumiを好きなチャンネルに追加して診断を依頼してみましょう!
3. Slackチャンネル毎のデータスコープの設定方法
SlackとGitHubを連携した後、診断を依頼するリポジトリはスコープに含まれている必要があります。 「TakumiのSlackコマンドを使用する」のガイドを参考に、Takumiのスコープを設定してください。
非必須の設定項目
「Web検索機能」オプション
「Web検索機能」オプションはオフにすることを推奨します。
「Web検索機能」オプションを有効にすると、Takumiは診断の過程で、必要に応じてブラウザを操作しインターネット上の情報を柔軟に検索します。 デフォルトではオフになっており、Takumi はブラウザを操作することはありません。
オプション無効化を推奨する理由
「Web検索機能」オプションがオフであっても、Takumiは多くのセキュリティ業務をこなすことができます。
これは、ソースコード内の情報のみならず、GitHubのIssue・Pull Requestや脆弱性データベース等への安全なアクセス手段が、Takumiに提供されているためです。
「Web検索機能」は、これらの情報源以外をTakumiに調査させたい場合の手段です。
以下の理由から、Takumiの「Web検索機能」オプションはオフにすることを推奨します。
-
Takumiの予期しないブラウザ操作による情報漏洩の可能性:
「Web検索機能」では、検索クエリ内や、ブラウザ操作の過程で発生しうるフォーム入力で、Takumiがお客様の秘密情報(コードやプロンプト等)やそれに由来する情報を外部サイトに入力する可能性を排除できません。なお、「Web検索機能」がオフの場合は、Takumiが外部情報へアクセスする際の function calling / tool use 相当の操作時において、その引数にお客様からお預かりしている秘密情報 (や、それらから直接的に派生する情報) が含まれないよう保証できる範囲に限り、ネットワークアクセスを許可しています。1
-
診断時間やクレジット消費量への影響:
Takumiが診断の過程でブラウザを用いる場合、診断時間やクレジット消費量が増加する傾向があります。「Web検索機能」がオフであっても遂行できるタスクについては、本オプションをオフにしておくことでこれらを抑制できます。
Footnotes
-
例えば、「CVE IDから詳細を取得するtool」は、CVE IDのフォーマットが決まっていることにより、引数の厳密なバリデーションが可能です。また「依存関係内の既知脆弱性情報(CVE ID等)の列挙 tool」は、Takumiの実行環境内で、脆弱性DBと使用パッケージの突合が安全に行われます。これらのtoolは外部情報へ安全にアクセスする手段として、「Web検索機能」がオフである場合にもTakumiに提供されています。 ↩