minder

| | | |

Minder は、開発チームやオープンソース コミュニティがより安全なソフトウェアを構築し、構築したものが安全であることを他の人に証明するのに役立つオープン ソース プラットフォームです。 Minder は、ソフトウェア サプライ チェーンに沿ったリスクを最小限に抑え、下流の消費者にセキュリティ実践を証明するための一連のチェックとポリシーを提供することで、プロジェクト オーナーがセキュリティ体制を積極的に管理できるように支援します。

Minder を使用すると、ユーザーはリポジトリを登録し、リポジトリとアーティファクトが一貫して安全に設定されるようにポリシーを定義できます。ポリシーは、アラートのみまたは自動修復に設定できます。 Minder は事前定義されたルールのセットを提供し、カスタム ルールを適用するように構成することもできます。

Minder は Helm チャートとしてデプロイでき、CLI ツールのminderを提供します。 Minder をサポートする会社である Stacklok も、無料で使用できるホスト型の Minder を提供しています (パブリック リポジトリのみ)。 Minder は拡張可能に設計されており、ユーザーは既存のツールやプロセスと統合できます。

• リポジトリの構成とセキュリティ:リポジトリ全体のセキュリティ設定とポリシーの構成と管理を簡素化します。
• プロアクティブなセキュリティの適用:アラートのみまたは自動修復する詳細なポリシーを設定することで、ベスト プラクティスのセキュリティ構成を継続的に適用します。
• アーティファクト認証:オープン ソース プロジェクト Sigstore を使用して、パッケージが署名されていることを継続的に検証し、改ざん防止を保証します。
• 依存関係の管理:開発者がより適切な選択をできるように支援し、制御を強化することで、依存関係のセキュリティ体制を管理します。 Minder は OSV および Trusty と統合されており、依存関係のリスク レベルに基づいたポリシー主導の依存関係管理を可能にします。

Minder をサポートする企業である Stacklok は、無料で使用できる Minder のパブリック インスタンスを提供しています。これは、 minder CLI を使用するときに使用されるデフォルトのインスタンスです。このインスタンスはパブリック リポジトリでのみ使用できます。

Minder を立ち上げて実行するのは 1 分もかからず、次のように簡単です。

1. マインダーのインストール
2. Minderへのログイン
3. そして、 minder quickstart実行して最初のプロファイルを作成します。

わずか数秒で、リポジトリを登録し、すべてのリポジトリに対してシークレット スキャン保護を有効にします。 ?

minderをインストールするための好みの方法を選択してください:

Homebrew がインストールされていることを確認してください。

brew install minder

Winget がインストールされていることを確認してください。

winget install stacklok.minder

最新リリースを Minder/release からダウンロードします。

ソースからのビルド ガイドに従って、 minderとminder-serverソースからビルドします。

Minder のパブリック インスタンス ( api.stacklok.com ) でminder使用するには、次のコマンドを実行してログインします。

minder auth login

完了すると、Minder サーバーがapi.stacklok.comに設定されていることがわかります。

quickstartコマンドを使用すると、Minder で最初のプロファイルを作成し、リポジトリを登録し、リポジトリのシークレット スキャン保護を有効にすることが数秒で完了します。

これを行うには、次を実行します。

minder quickstart

これにより、プロバイダーを登録し、必要なリポジトリを選択し、 secret_scanningルール タイプを作成し、選択したリポジトリのシークレット スキャンを有効にするプロファイルを作成するよう求められます。

プロファイルのステータスを確認するには、次を実行します。

minder profile status list --profile quickstart-profile --detailed

全体的なプロファイル ステータスと、登録されている各リポジトリのルール評価ステータスの詳細ビューが表示されます。

Minder は引き続きリポジトリを追跡し、 remediate機能を使用して望ましい状態からの逸脱を確実に修正するか、必要に応じてalert機能を使用して警告します。

おめでとう！ ?これで、最初のプロファイルが正常に作成されました。

リポジトリを追加または削除したり、さまざまなルールを使用してプロファイルを作成したりして、Minder の機能を引き続き探索できるようになりました。 Minder には秘密のスキャン以外にも多くの機能があります。

secret_scanningルールは、Minder がサポートする多くのルール タイプの 1 つにすぎません。

Minder のチームによって管理されている、すぐに使用できるルールとプロファイルの完全なリストは、ここ (mindersec/minder-rules-and-profiles) で確認できます。

まだ見つからないものがあった場合に備えて、Minder は拡張できるように設計されています。これにより、ユーザーは独自のカスタム ルール タイプとプロファイルを作成し、セキュリティ体制の詳細が確実に証明されるようになります。

これですべての設定が完了したので、引き続き Minder のパブリック インスタンスに対してminderコマンドを実行して、登録したリポジトリの管理、プロファイルやルールの作成などを行うことができるため、リポジトリが一貫して安全に構成されていることを確認できます。

minderの詳細については、次を参照してください。

• minder CLI コマンド - ドキュメント。
• minder REST API ドキュメント - ドキュメント。
• minderルールとプロファイルは、Minder のチーム - GitHub によって維持されます。
• Minder ドキュメント - ドキュメント。

Minder コミュニティは、Minder の新機能と改善に積極的に取り組んでいます。

ここでロードマップを見つけることができます。

機能や改善をリクエストまたは貢献したい場合は、次の問題テンプレートを使用してください。

このセクションでは、Minder をソースからビルドして実行する方法について説明します。

Go、Docker、Docker Compose のツールが利用可能である必要があります。

minder-server構築して実行するには、 ko も必要です。

make test経由でテスト スイートを実行するには、 gotestfmt と helm が必要です。

run-docker make target を呼び出すには、yq が必要です。

git clone [email protected]:mindersec/minder.git

以下を実行して、 minderとminder-serverビルドします (バイナリは./bin/に存在します)。

make build

Minder のパブリック インスタンス ( api.stacklok.com ) でminder使用するには、次のコマンドを実行します。

minder auth login

完了すると、Minder Server がapi.stacklok.comに設定されていることがわかります。

ローカルのminder-serverインスタンスに対してminder実行する場合は、以下の手順に進みます。

minderの初期構成ファイルを作成します。そうすることでそうすることができます。

cp config/config.yaml.example config.yaml

minder-serverの初期構成ファイルを作成します。そうすることでそうすることができます。

cp config/server-config.yaml.example server-config.yaml

また、 minder-server使用する OAuth2 アプリケーションをセットアップする必要もあります。完了したら、適切な値で構成ファイルを更新します。その方法については、ドキュメント (Docs) を参照してください。

以下を実行して、 minder-serverとその依存サービス ( keycloakおよびpostgres ) を起動します。

make run-docker

minder-server IAM として Keycloak を使用します。ログインするには、GitHub OAuth2 アプリケーションをセットアップし、それを使用するように Keycloak を構成する必要があります。

ここで GitHub 用の OAuth2 アプリケーションを作成します。 New OAuth Appを選択し、詳細を入力します。コールバック URL はhttp://localhost:8081/realms/stacklok/broker/github/endpointである必要があります。 OAuth2 クライアントの新しいクライアント シークレットを作成します。

上記で作成したclient_idとclient_secretを使用して、次のコマンドを実行して Keycloak での GitHub ログインを有効にします。

make KC_GITHUB_CLIENT_ID= < client_id > KC_GITHUB_CLIENT_SECRET= < client_secret > github-login

minderが使用できるように、 config.yamlファイルが現在のディレクトリに存在することを確認してください。

Minder のローカル インスタンス ( localhost:8090 ) に対してminder実行します。

minder auth login

完了すると、Minder サーバーがlocalhost:8090に設定されていることがわかります。

デフォルトでは、構成ファイルが存在しない場合、 minder CLI は本番 Stacklok 環境を指しますが、サーバーを実行するためのconfig.yaml作成すると、CLI はローカル開発環境を指します。別のインスタンスを明示的に使用する場合は、特定の構成を指すようにMINDER_CONFIG環境変数を設定できます。ローカル開発、Stacklok 運用環境、および Stacklok ステージング環境 (頻繁に更新される) の構成がconfigディレクトリにチェックインされています。

開発プロセスの詳細については、開発者ガイドを参照してください。

• REST API ドキュメント - リンク。

• Proto API ドキュメント - リンク。

• プロトブフ - リンク。

• OpenAPI/swagger 仕様 (JSON) - リンク。

Minder への貢献を歓迎します。詳細については、貢献ガイドをご覧ください。

Minder プロジェクトは、ソフトウェア サプライ チェーンのセキュリティと透明性に関するベスト プラクティスに従っています。

リリースされたすべてのアセット:

• 生成され検証可能な SLSA ビルド レベル 3 の来歴を持っています。詳細については、SLSA の Web サイトを参照してください。
• リリース中に Sigstore プロジェクトを使用して署名および検証されています。これにより、改ざんが防止され、誰でも検証できることが保証されます。
• リリースとともに SBOM アーカイブを生成および公開します。これにより、ユーザーはプロジェクトの依存関係とセキュリティ体制を理解できるようになります。

Minder は、Apache 2.0 ライセンスに基づいてライセンスされています。