Usar a extensão de segurança da CLI do Gemini para revisões de PR do GitHub

1. Introdução

A extensão de segurança da CLI do Gemini é uma extensão de código aberto criada pelo Google que analisa o código em busca de riscos e vulnerabilidades de segurança. Você pode usar a extensão de segurança com a CLI do Gemini para identificar problemas de segurança localmente, assim como faria com qualquer outra extensão da CLI do Gemini. Você também pode invocar o recurso para analisar solicitações de envio no GitHub. Neste codelab, vamos explicar como usar a extensão de segurança no seu repositório do GitHub.

O que você aprenderá

• Configurar a autenticação segura do GitHub para o Google Cloud
• Criar um fluxo de trabalho do GitHub Actions que chame a extensão de segurança da CLI do Gemini
• Executar uma análise de segurança em uma solicitação de envio nova ou atual usando o GitHub Actions

O que você vai aprender

• Como usar a federação de identidade da carga de trabalho para autenticação segura do GitHub Actions no Google Cloud
• Saiba mais sobre os benefícios de usar um pool de identidade de carga de trabalho e um provedor de identidade de carga de trabalho em vez de uma chave de API do Gemini para autenticação
• Como fazer uma análise de segurança com solicitações de pull
• Como interpretar as revisões de segurança retornadas pela extensão Security

O que é necessário

• Um navegador da Web
• Uma conta e um repositório do GitHub
• um projeto do Google Cloud;

Este codelab foi criado para desenvolvedores familiarizados com o fluxo de trabalho de CI/CD no GitHub. Não é necessário ter familiaridade com a CLI do Gemini ou as extensões dela. Se quiser saber como as extensões funcionam, confira o codelab: Como começar a usar as extensões da CLI do Gemini.

Neste codelab, você vai aprender a configurar a extensão de segurança da CLI do Gemini no seu repositório do GitHub. Não vamos sugerir código para você abrir uma solicitação de pull no seu repositório e acionar uma descoberta de vulnerabilidade de segurança.

2. Antes de começar

Criar ou selecionar um projeto

1. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto na nuvem.
2. Verifique se o faturamento está ativado para seu projeto do Cloud. Saiba como verificar o faturamento.
3. Abra o Cloud Shell, um ambiente de linha de comando executado no Google Cloud. Clique em Ativar o Cloud Shell na parte de cima do console do Google Cloud.

4. Depois de se conectar ao Cloud Shell, verifique se você está autenticado e se o projeto está definido com seu ID do projeto usando o seguinte comando:

gcloud auth list

5. Execute o comando a seguir para confirmar se o comando gcloud está configurado para usar seu projeto.

gcloud config list project

6. Se o projeto não estiver definido, use este comando:

gcloud config set project ${GOOGLE_CLOUD_PROJECT}

3. Configurar a autenticação do GitHub para o Google Cloud

Como funciona

A federação de identidade da carga de trabalho é a maneira recomendada de autenticação do GitHub Actions no Google Cloud.

1. Para cada fluxo de trabalho execução job das ações do GitHub, o GitHub como um provedor de identidade externo emite um JWT (JSON Web Token) assinado. Esse token contém "declarações", como repository, workflow e job_workflow_ref, que funcionam como um documento de identidade digital para esse corredor específico. Neste laboratório, você vai criar um fluxo de trabalho do GitHub Actions com um job que usa a ação google-github-actions/run-gemini-cli, que vai solicitar um JWT do GitHub e enviar esse token ao Security Token Service (STS) no Google Cloud.
2. Você vai configurar um pool de identidades da carga de trabalho e um provedor no Google Cloud definindo o URL do emissor como o URL oficial do serviço de token do GitHub https://token.actions.githubusercontent.com e definindo seus "Mapeamentos de atributos", que geralmente incluem nomes de repositório e ramificação. O STS do Google Cloud valida o JWT de acordo com as regras do pool de identidades da carga de trabalho. Se tudo estiver correto, incluindo os mapeamentos de atributos, o STS vai trocar o token do GitHub por um token de acesso federado do Google Cloud de curta duração.
3. Agora, a ação google-github-actions/run-gemini-cli no fluxo de trabalho do GitHub Actions pode usar o token de acesso federado do Google Cloud de curta duração para "representar" uma conta de serviço conectada ao pool de identidades da carga de trabalho. A conta de serviço conectada precisa ter os papéis e permissões do IAM necessários para acessar recursos e serviços do Google Cloud.

Benefícios de usar a federação de identidade da carga de trabalho em vez da chave de API Gemini

É possível autenticar chamadas da CLI do Gemini originadas do GitHub Actions usando uma chave de API do Gemini. Para isso, crie um novo Secret do GitHub Actions chamado GEMINI_API_KEY com o valor de chave apropriado. No entanto, isso não é recomendado pelos seguintes motivos de segurança:

• As chaves de API Gemini podem ter permissões amplas das respectivas vinculações de papéis do IAM. Quando comprometidas, elas abrem o acesso a uma ampla variedade de recursos e serviços do Google Cloud. A federação de identidade da carga de trabalho usa contas de serviço e tokens de acesso de curta duração, o que aumenta significativamente a autenticação.
• Também é difícil gerenciar as chaves de API Gemini em grande escala. Identificar quais fluxos de trabalho estão usando uma chave exposta leva tempo. A rotação manual das chaves também leva tempo. Por outro lado, é fácil pesquisar, editar e excluir pools e provedores da Identidade da carga de trabalho associados ao seu repositório no Console do Cloud.
• Com as chaves de API Gemini, é preciso sempre verificar se elas não estão sendo expostas acidentalmente em registros de acesso ou de depuração. Com a federação de identidade da carga de trabalho, você não armazena secrets de fluxos de trabalho do GitHub Actions, mas variáveis, que são inerentemente menos sensíveis.

Configurar o GitHub Actions e o Google Cloud

1. No Cloud Shell, faça login na sua conta do GitHub.

gh auth login

2. Crie um arquivo setup_workload_identity.sh e copie e cole o script de configuração do repositório google-github-actions/run-gemini-cli.
3. Transforme o script em um executável.

chmod +x setup_workload_identity.sh

4. Execute o script.

./setup_workload_identity.sh --repo {OWNER/REPO} --project {GOOGLE_CLOUD_PROJECT}

4. Criar um fluxo de trabalho do GitHub Actions

1. Confira um repositório do GitHub que é seu.

git clone {YOUR_REPO}
cd {YOUR REPO}

2. Crie um fluxo de trabalho do GitHub Actions que chame o comando de barra /security:analyze-github-pr copiando um script de exemplo de fluxo de trabalho yml do repositório /gemini-cli-extensions/security.

git checkout -b workflow
mkdir .github/ && cd .github/
mkdir workflows/ && cd workflows/
curl -L https://raw.githubusercontent.com/gemini-cli-extensions/security/refs/heads/main/.github/workflows/gemini-review.yml -o gemini-review.yml

3. Envie o fluxo de trabalho do GitHub Actions para sua origem remota no GitHub.

git add .github/workflows/gemini-review.yml
git commit -m "add new gha workflow"
git push --set-upstream origin workflow

5. Executar o fluxo de trabalho de análise de segurança em solicitações de pull novas e atuais

Inicie uma nova solicitação de pull no seu repositório do GitHub ou poste um novo comentário "@gemini-cli /review" como proprietário ou colaborador do repositório. Isso vai iniciar uma revisão de segurança na solicitação de pull. A extensão de segurança da CLI do Gemini do fluxo de trabalho do GitHub Actions que você confirmou no seu repositório vai marcar todos os problemas de segurança encontrados por categorias de gravidade, de "Crítico", "Alto", "Médio" a "Baixo".

Confira um exemplo de uma revisão de segurança em uma nova solicitação de pull e um exemplo de uma revisão de segurança em uma solicitação de pull atual.

6. Exploração extra

Recomendamos que você explore uma lista crescente de comandos personalizados com novos recursos de segurança na extensão de segurança da CLI do Gemini e comece a usar nos seus fluxos de trabalho. Exemplo:

• O /security:scan-deps faz referências cruzadas das dependências do projeto com o OSV.dev.

Confira as notas da versão para conhecer os recursos e correções de bugs mais recentes.

7. Parabéns

Parabéns! Você configurou seu repositório do GitHub para usar a extensão de segurança da CLI do Gemini e analisar solicitações de envio em busca de riscos e vulnerabilidades de segurança.