CIS Software Supply Chain Security Guide v1.0.0 に関連するマネージド検査
本ページでは、CIS Software Supply Chain Security Guide v1.0.0 に関して Flatt Security により標準提供される検査項目(マネージド検査項目)について説明します。 なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。
検査を実施するには
以下で公開されているワークフローを Shisho Cloud 組織に登録することで、AWS 向けのマネージド検査項目を利用できます:
検査項目の一覧
info
各検査項目の緊急度は、ダッシュボード等での統計情報の表示や、今取るべき対応アクションのリコメンドの際に用いられます。 ポリシーをカスタマイズすることで、組織のポリシーに合わせた緊急度の変更も可能です。
| 検査項目名 | 標準中の項目名 | デフォルトの緊急度 | Shisho Cloud 内の管理 ID |
|---|---|---|---|
| ソースコードのバージョン管理を行う | 1.1.1 | Info | decision.api.shisho.dev/v1beta:version_control |
| コードへの変更には十分なレビューを要求する | 1.1.3 | Medium | decision.api.shisho.dev/v1beta:github_minimum_approval_number_policy |
| コードの変更に常に最新のレビューを要求する | 1.1.4 | Low | decision.api.shisho.dev/v1beta:github_stale_review_policy |
| コードの変更にコードオーナーからのレビューを要求する | 1.1.7 | Low | decision.api.shisho.dev/v1beta:github_code_owners_review_policy |
| コミットに署名を要求する | 1.1.12 | Info | decision.api.shisho.dev/v1beta:github_commit_signature_policy |
| コミット履歴をリニアに保つ | 1.1.13 | Info | decision.api.shisho.dev/v1beta:github_linear_history_policy |
| ブランチの保護を管理者にも適用する | 1.1.14 | Low | decision.api.shisho.dev/v1beta:github_protection_enforcement_for_admins |
| デフォルトブランチを保護する | 1.1.14 | Medium | decision.api.shisho.dev/v1beta:github_default_branch_protection |
| ブランチへの force push を拒否する | 1.1.16 | Low | decision.api.shisho.dev/v1beta:github_force_push_policy |
| 重要なブランチの削除を制限する | 1.1.17 | Medium | decision.api.shisho.dev/v1beta:github_branch_deletion_policy |
| GitHub の公開リポジトリの作成を制限する | 1.2.2 | Low | decision.api.shisho.dev/v1beta:github_org_members_permission_on_creating_public_repos |
| GitHub リポジトリの削除権限を制限する | 1.2.3 | Low | decision.api.shisho.dev/v1beta:github_repo_members_permission_on_deleting_repository |
| GitHub 組織のオーナー数を適切に保つ | 1.3.3 | Low | decision.api.shisho.dev/v1beta:github_org_owners |
| GitHub 組織の 2FA 利用を必須にする | 1.3.5 | Low | decision.api.shisho.dev/v1beta:github_org_2fa_status |
| GitHub リポジトリの管理者の数を適切に保つ | 1.3.7 | Low | decision.api.shisho.dev/v1beta:github_repo_admins |
| GitHub リポジトリの基本権限を堅牢にする | 1.3.8 | Low | decision.api.shisho.dev/v1beta:github_org_default_repository_permission |
| GitHub Actions ワークフローへのスクリプト注入を避ける | 1.3.8 | Medium | decision.api.shisho.dev/v1beta:github_actions_workflow_script_injection_possibility |
| GitHub Actions ワークフロー中へのシークレットの直接の埋め込みを避ける | 1.5.1 | Critical | decision.api.shisho.dev/v1beta:github_actions_workflow_secret_handling |
| GitHub Actions ワークフローによる明示的なパーミッション宣言をポリシー通りに保つ | 2.2.3 | Low | decision.api.shisho.dev/v1beta:github_actions_workflow_explicit_permissions |
| GitHub Actions ワークフローが依存するツール群を固定する | 2.4.2 | Low | decision.api.shisho.dev/v1beta:github_actions_dependency_pinning |
| GitHub Actions ワークフローによる未検証の外部スクリプトの実行を避ける | 2.4.3 | Medium | decision.api.shisho.dev/v1beta:github_actions_insecure_script_evaluation |
| 既知の脆弱性を含むパッケージを更新する | 3.2.2 | Info | decision.api.shisho.dev/v1beta:package_known_vulnerability |