開発者は、コードの記述、変更のコミット、依存関係のインストール、そしてエディター内でのAIとの連携といったいくつかの主要なループで作業しています。
Aikido Expansion Packsは、これらの瞬間に合わせて構築されています。
これにより、ローカルでIDE内で実行され、開発者が既に作業している方法に自然に適合する、特化したセキュリティ機能をAikidoに追加できます。各パックはワークフローの特定の部分に対応し、新しいツール、新しいパイプライン、または新しいプロセスを必要としません。
チームにとって意味のあるパックを有効にし、それ以外は無効にしてください。すべてはご自身のマシン上で実行され、有効にしない限り何も実行されません。
.png)
使用方法
Expansion Packsは、Aikido IDE拡張機能内から直接管理されます。Aikidoサイドバーを開き、Expansion Packsに移動して、使用したいパックを有効または無効にしてください。正確なナビゲーションはIDEによって異なりますが、基本的なフローはサポートされているエディター全体で一貫しています。VS Code、IntelliJ、およびその他のサポートされているIDE向けのIDE固有の手順については、ドキュメントで説明されています → https://help.aikido.dev/ide-plugins/features/aikido-expansion-packs#how-to-use
.png)
Aikido シークレット Pre-Commit Hook
Aikido シークレット pre-commit Gitフックは、コミットが作成される前に、ステージングされたコードにシークレット、パスワード、APIキーがないかチェックします。機密情報が検出された場合、リポジトリに到達する前にコミットはローカルでブロックされます。
コミット時に実行されるため、フィードバックは即座に得られ、コミットされるコードに直接関連付けられます。開発者は必要に応じて既知の値をインラインで許可したり、エッジケースでは一時的にフックをバイパスしたりできます。Expansion Packsからシークレット Pre-Commit Hookをオフにすると、マシン上のすべてのリポジトリに対してフックがグローバルにアンインストールされます。追加の設定は不要です。
Aikido シークレット Pre-Commit Hookの詳細はこちら
Aikido Safe Chain
Aikido Safe Chainは、インストール時に悪意のあるパッケージから環境を保護します。
パッケージをインストールする際、Safe Chainはパッケージとそのネストされた依存関係をチェックし、既知の悪意のあるパターンや疑わしい動作がないか確認します。これには、難読化されたコード、安全でないインストールスクリプト、データ漏洩の試み、クリプトマイナーなどが含まれます。これらのチェックはインストール中に自動的に実行され、コマンドやプロジェクト設定の変更は必要ありません。
Safe Chainは、npm、npx、yarn、pnpm、pnpxなどの一般的なパッケージマネージャーの周りに安全層を追加します。
%20(1).gif)
新規公開パッケージの処理
新規公開されたパッケージバージョンは、より高いリスクを伴います。未審査のリリースへの露出を減らすため、Safe Chainは24時間の安全期間を適用します。
パッケージバージョンが24時間以内に公開された場合、Safe Chainはそのバージョンをブロックします。インストールを失敗させる代わりに、24時間以上前の最新バージョンを自動的にインストールします。これにより、インストールは正常に続行され、マルウェアチェックによってビルドが中断されることはありません。
.png)
完全なドキュメントはこちら → https://help.aikido.dev/code-scanning/aikido-malware-scanning
Aikido MCP
Aikido MCPは、Aikidoの既存のセキュリティチェックをAIアシストによるコーディングワークフローに公開します。
有効にすると、AIツールは、レビューやCIを待つことなく、コードが生成または変更される際にAikidoのローカルSASTおよびシークレットチェックをコードに対して実行できます。これにより、コードがまだ記述されている間に、脆弱性やハードコードされたシークレットをより早く発見できます。
MCPは3つのチェックを提供します。
aikido_full_scanSASTとシークレットの組み合わせ用aikido_sast_scanSASTのみAikidoシークレットスキャンシークレットのみ
IDE経由でAikidoを使用する場合、MCPはExpansion Packsを通じて有効化されます。MCPトグルをオンにすると、そのIDEに必要なすべてが自動的にインストールおよび設定されます。オプションのチェックボックスでAikido MCPルールも管理できます。手動セットアップは、高度なユースケースやIDE外でMCPを実行する場合にのみ必要です。
.gif)
Aikido MCPの詳細はこちらをご覧ください
複雑さを増すことなくセキュリティを拡張
Expansion Packsは、既存のセキュリティワークフローを置き換えたり、別のツールレイヤーを追加したりすることを意図していません。これらは、開発者の作業方法を変更することなく、リスクが実際に発生する箇所にセキュリティ制御を配置するように設計されています。
チームは、現在のリスクプロファイルに合ったパックを有効にし、それ以外は無視できます。すべてがローカルで実行され、開発者によって制御され、新しいワークフローを作成するのではなく、既存のワークフローに統合されます。
はじめに
すでにAikido IDE拡張機能をご利用の場合、Expansion Packsは現在ご利用いただけます。IDEを開き、チームにとって意味のあるパックを有効にして、開発を続けてください。必要に応じてパックをオンまたはオフにできるため、小規模から開始し、時間をかけてカバレッジを拡大することが容易になります。
Expansion Packsを始める → https://help.aikido.dev/ide-plugins/features/aikido-expansion-packs
