好奇心の足跡

飽きっぽくすぐ他のことをしてしまうので、忘れないため・形にして頭に残すための備忘録。

CI

CIでOSSライセンスを自動チェック ~npm編2~

今日は下記の記事で紹介していた、CIでOSSライセンスを自動チェック、のnpm辺について、別のツールを使った方法を紹介します。 kusuwada.hatenablog.com というのも、こちらの記事で紹介した grunt-license-report を職場で他のチームに導入しようとしたとこ…

JavaScriptコードの安全を保つSAST(静的解析)ツール ~ npm-audit, NodeJsScan, LGTM~

Python編や、SASTツールとは?についてはこちら kusuwada.hatenablog.com 今回はJavaScriptで使えるSASTツールを紹介します。 npm-audit npm-audit とは 実行 NodeJsScan NodeJsScan とは installと実行 LGTM LGTMとは 登録と実行 参考リンク npm-audit npm-…

Pythonコードの安全を保つSAST(静的解析)ツール ~Bandit, Pyt~

Python その2 Advent Calendar 2018 16日目の投稿が空いていたので、めっちゃ日が過ぎてますが飛び込み投稿。 今回は、昨今よく聞くようになった「DevSecOps」(DevOps + Security) 活動で重要になってくる、「セキュリティテストも自動で回す」を実現するた…

CI+LicensedでOSSのライセンスを自動チェック

この記事は #インフラ勉強会 Advent Calendar 17日目の記事です。 「インフラエンジニアのための」とつければ何でも良いよ!とのことなので、「インフラエンジニアのためのコンプライアンス管理」的な副題を付けておきましょうか。 adventar.org Qiita版もあ…

licensedでOSSのライセンスチェック

以前も下記の記事で話題にした、開発したソフトウェアで使用しているOSSのライセンス確認、面倒だけどやらなきゃですよねという話。 kusuwada.hatenablog.com この記事ではOSSのリストアップやライセンスチェックを助けてくれるツール・サービスの紹介をしま…

使用しているOSSの一覧取得やライセンス確認を自動化/CI化したい話

製品やサービスを作って出荷・リリースする際に、中で使用しているOSSのライセンスをリストアップしたり確認したりするのって必須ですよね? ただこの作業、人手でやるにはかなり面倒なところ。皆さんはどういうふうに使用しているOSSライセンスを確認されて…