Guardrails – Policy-as-Code Security Scanner
Guardrails je automatizovaný bezpečnostní skener pro GitHub a lokální prostředí (CLI), který funguje na principu „Policy-as-Code“. Nástroj automaticky analyzuje každý Pull Request (PR) a detekuje uniklé citlivé údaje, známé zranitelnosti v závislostech, nebezpečné vzory v kódu a chybějící autentizaci ještě před tím, než je kód sloučen do hlavní větve.
01 Detaily
Klíčové vlastnosti:
Ochrana před únikem dat (Leaked Secrets): Detekce hardcoded AWS klíčů, GitHub tokenů, Stripe klíčů a dalších více než 20 vzorů pomocí regexů s nízkým poměrem falešně pozitivních nálezů.
Skenování zranitelností (Known Vulnerabilities): Kontrola závislostí pro npm, pip a Go vůči databázi OSV. Automatické blokování PR, které do projektu zavádějí známé zranitelnosti (CVE).
Statická analýza kódu (Dangerous Patterns): Odhalování zranitelností typu SQL injection, command injection, použití eval() či nezabezpečené deserializace.
Kontrola autentizace (Missing Auth): Analýza frameworků jako Express či Next.js s cílem detekovat nechráněné administrátorské routy bez autentizačního middleware.
Konfigurace přes Policy-as-Code: Plně přizpůsobitelné chování (varování vs. blokování, allowlisty) pomocí souboru .guardrails.yaml.
Komplexní ekosystém: Dostupný jako GitHub App pro bezproblémovou CI/CD integraci (výsledky přes GitHub Check annotations) a jako CLI nástroj (podpora exportu do SARIF) pro skenování kódu před samotným commitem.
Přínos a architektura: Projekt ukazuje praktické nasazení principu „Shift-Left Security“ v DevSecOps. Automatizuje proces code review z hlediska kyberbezpečnosti a vývojářům umožňuje zachytit a opravit kritické chyby dříve, než se dostanou do produkce.