documentation of code scanning error

RyosukeDTomita · May 24, 2024 · 62eb401 · 62eb401
1 parent e6f67cf
commit 62eb401
Show file tree

Hide file tree

Showing 2 changed files with 32 additions and 5 deletions.
diff --git a/README.md b/README.md
@@ -259,15 +259,15 @@ git secrets --register-aws # awsのクレデンシャル検知ルールを登録
 copilot svc logs --previous
 ```
 
-### nginx: [emerg] bind() to 0.0.0.0:80 failed (13: Permission denied)
+#### nginx: [emerg] bind() to 0.0.0.0:80 failed (13: Permission denied)
 
 - [ECS の仕様で非特権ユーザを使用したコンテナでは 80 番ポートが使えないっぽい](https://repost.aws/questions/QU1bCV9wT4T5iBrrP1c2ISfg/container-cannot-bind-to-port-80-running-as-non-root-user-on-ecs-fargate) --> つまり，localのdockerで80でサービスが起動できてもECSだと権限エラーになる。このため，コンテナで開放するportは8080としている(ALBに対して8080がマッピングされているためブラウザからは80でアクセスできる)。
 
-### toomanyrequests: You have reached your pull rate limit. You may increase the limit by authenticating and upgrading: <https://www.docker.com/increase-rate-limit>
+#### toomanyrequests: You have reached your pull rate limit. You may increase the limit by authenticating and upgrading: <https://www.docker.com/increase-rate-limit>
 
 - Docker Hubに短期間にアクセスしすぎているだけなので放置でOK
 
-### Error response from daemon: dockerfile parse error
+#### Error response from daemon: dockerfile parse error
 
 - DockerfileのRUNをヒアドキュメントで書いていたら怒られた(ローカルでは動いてたのに...)
 
@@ -287,14 +287,14 @@ RUN mkdir -p /var/log/nginx \
     && chown -R nginx:nginx /run/nginx.pid
 ```
 
-### Resource handler returned message: "Error occurred during operation 'ECS Deployment Circuit Breaker was triggered'
+#### Resource handler returned message: "Error occurred during operation 'ECS Deployment Circuit Breaker was triggered'
 
 コンテナが正常に起動していない。amd64を指定したら動いた。
 
 ```shell
 DOCKER_DEFAULT_PLATFORM=linux/amd64 copilot deploy
 ```
 
-### copilot app show で CFn スタックを消したはずのアプリが表示されてしまう
+#### copilot app show で CFn スタックを消したはずのアプリが表示されてしまう
 
 - `copilot app show`はParameter Storeを見ているのでそこを消す。
diff --git a/doc/github-actions.md b/doc/github-actions.md
@@ -23,3 +23,30 @@
 ```yaml
 actions/setup-python@コミットハッシュ
 ```
+
+---
+
+## CodeQLを使ってファイルを出力
+
+### Advanced Security must be enabled for this repository to use code scanning 403: GitHub Advanced Security is not enabled
+- publicリポジトリ以外で使用していると出るエラー。
+
+- [公式ドキュメント](https://docs.github.com/ja/code-security/code-scanning/troubleshooting-code-scanning/advanced-security-must-be-enabled)を見ると
+  - code scanningが有効になっている
+  - GitHub Advanced Securityを実行しようとした場合
+に出るエラーでcodd scanningが使えるのは無料ではpublicリポジトリのみ。
+
+```yaml
+        # reportsを生成(Actionsから確認できる)
+        - name: save report as pipeline artifact
+          uses: actions/upload-artifact@v4
+          with:
+            name: report.sarif
+            path: report.sarif
+        # scanの結果を解析。GithubのSecurity --> Code Scanning等でアラートが見られる。
+        - name: publish code scanning alerts
+          uses: github/codeql-action/upload-sarif@v2
+          with:
+            sarif_file: report.sarif
+            category: semgrep
+```