Backlog GitでSnykスキャンを自動実行してSlackに通知してみた
ゲームソリューション部の えがわ です。
本日はSnykのセキュリティスキャンをBacklogのGit(以下Backlog Git)のリポジトリに対して実行してみます。
背景
Snykはコードの脆弱性を検出するためのツールですが、BacklogのGitリポジトリに対しては以下のような課題があります。
- Backlog GitはSnykの公式インテグレーションに対応していない
- Backlog GitにはCI/CDの機能が備わっていない
そこで今回は、BacklogのWebhook機能を利用して、AWSでSnykスキャンを自動実行する仕組みを構築します。
ついでにスキャン結果をSlackに通知してみます。
構成図
BacklogからのWebhookを受け取り、API Gateway -> Lambda -> CodeBuildの流れでSnykスキャンを実行します。
API GatewayにはBacklogからのIPリストを設定し制限しています。
また、CodeBuildの完了後はEventBridge -> Lambda -> SNS -> Amazon Q Developer -> Slackの流れでスキャン結果の通知も行います。
リポジトリ
構築に使用したTerraformコードは以下のリポジトリで公開しています。
対応手順
SSHキーの作成
CodeBuildがBacklog GitリポジトリにアクセスするためのSSHキーを作成します。
ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa_backlog -N "" 公開鍵を確認します。
cat ~/.ssh/id_rsa_backlog.pub BacklogにSSHキーを登録
Backlogの個人設定から「公開鍵」を選択し、作成した公開鍵を登録します。
Terraformの設定
terraform.tfvars.exampleファイルをコピーしてterraform.tfvarsを作成し、環境に合わせて設定します。
cp terraform.tfvars.example terraform.tfvars GitリポジトリのURLとSnykの組織IDを設定する必要があります。
git_repo_urlにはBacklog GitリポジトリのSSH URLを指定します。
snyk_org_idにはSnykの組織IDを設定します。
組織IDはSnykのウェブダッシュボードで確認できます。
Terraformの適用
terraform init terraform plan terraform apply 実行が完了すると、通知の実装方法及びWebhook URLが出力しています。
amazon_q_developer_setup_details = { "console_url" = "https://console.aws.amazon.com/chatbot/" "recommended_iam_role" = "ReadOnlyAccess" "region" = "us-east-1" "sns_topic_arn" = "arn:aws:sns:us-east-1:your-aws-account:backlog-snyk-cicd-snyk-notifications" "test_command" = "aws codebuild start-build --project-name backlog-snyk-cicd-snyk-scan" } api_gateway_id = "xxxxxxxxx" codebuild_project_name = "backlog-snyk-cicd-snyk-scan" eventbridge_rule_name = "backlog-snyk-cicd-codebuild-completion" lambda_function_name = "backlog-snyk-cicd-webhook-handler" notification_lambda_function_name = "backlog-snyk-cicd-notification-handler" s3_bucket_name = "backlog-snyk-cicd-codebuild-artifacts-xxxxxxxxx" setup_instructions = <<EOT 1. Update Snyk API token: aws ssm put-parameter --name "/backlog-snyk-cicd/snyk-api-token" --value "YOUR_SNYK_TOKEN" --type SecureString --overwrite 2. Update Backlog Git SSH private key: aws ssm put-parameter --name "/backlog-snyk-cicd/backlog-git-ssh-key" --value "$(cat ~/.ssh/id_rsa_backlog)" --type SecureString --overwrite 3. Configure Backlog webhook: URL: https://xxxxxxxxx.execute-api.us-east-1.amazonaws.com/dev/webhook Method: POST Event: Push 4. Configure Amazon Q Developer for Slack notifications: a. Open Amazon Q Developer console: https://console.aws.amazon.com/chatbot/ b. Click "Configure new client" → Select "Slack" c. Authorize your Slack workspace d. Create a channel configuration: - Channel name: Select your Slack channel - IAM Role: Create a new role or use existing (ReadOnlyAccess recommended) - SNS Topics: Add arn:aws:sns:us-east-1:your-aws-account:backlog-snyk-cicd-snyk-notifications - Region: us-east-1 e. Save the configuration f. Test by running: aws codebuild start-build --project-name backlog-snyk-cicd-snyk-scan EOT sns_topic_arn = "arn:aws:sns:us-east-1:your-aws-account:backlog-snyk-cicd-snyk-notifications" snyk_token_parameter_name = "/backlog-snyk-cicd/snyk-api-token" webhook_url = "https://xxxxxxxxx.execute-api.us-east-1.amazonaws.com/dev/webhook" SSMパラメータストアへの登録
Terraformの実行後、SnykトークンとSSH秘密鍵をSSM Parameter Storeに登録します。
Snykトークンの登録
Snykのアカウント設定からAPIトークンを取得し、SSMに登録します。
マネジメントコンソールから設定してもよいですが、
以下でも設定できます。
aws ssm put-parameter \ --name "/backlog-snyk-cicd/snyk-api-token" \ --value "your-snyk-token" \ --type "SecureString" \ --overwrite SSH秘密鍵の登録
aws ssm put-parameter \ --name "/backlog-snyk-cicd/backlog-git-ssh-key" \ --value "$(cat ~/.ssh/id_rsa_backlog)" \ --type "SecureString" \ --overwrite Amazon Q Developer in chat applicationsの設定
Slackにメッセージ送信を行うため、Amazon Q Developer in chat applicationsを設定します。
AWSコンソールのAmazon Q Developer in chat applicationsページにアクセスし、Slackワークスペースを認証して設定を行います。
Slackの設定
Slackに通知を行うため、通知先のチャンネルにAmazon Qアプリケーションを追加します。
Slackのアプリ一覧からAmazon Qを検索し、
対象のチャンネルに追加します。
Backlog GitにWebhookを設定
Backlog Gitの設定からWebhook URLを設定します。
これで準備は整いました。
動作確認
リポジトリにコードをプッシュして、CodeBuildが実行されることを確認します。
Slack通知
Slack通知でサマリーを確認することができます。
Snyk Web UI
SnykのWeb UIにアクセスし、スキャン結果を確認します。
プロジェクト一覧から該当リポジトリを選択すると、検出された脆弱性の詳細を確認できます。
buildspecの以下の処理でWeb UIで確認できるようになります。
- echo "=== Sending results to Snyk Web UI ===" - | snyk monitor \ --project-name="${APP_DIR}" \ --org="${SNYK_ORG:-default}" \ --remote-repo-url="${REPO_PATH}/oss" \ --target-reference="$(git rev-parse --short HEAD 2>/dev/null || echo 'unknown')" \ || echo "Failed to send dependency scan to Snyk" 2025/10/10のアップデートでCodeも--reportオプションを付けることでWeb UIで確認できるようになりました。
- echo "=== Sending Code results to Snyk Web UI ===" - | snyk code test --report \ --org="${SNYK_ORG:-default}" \ --project-name="${REPO_PATH}/code" \ --target-name="${REPO_PATH}/code" \ --target-reference="$(git rev-parse --short HEAD 2>/dev/null || echo 'unknown')" \ || echo "Failed to send code scan to Snyk" HTML
buildspecでは以下の処理でスキャン結果のHTMLをアーティファクトに含めています。
- echo "=== Generating HTML Reports ===" - snyk-to-html -i snyk-opensource-report.json -o snyk-opensource-report.html || true - snyk-to-html -i snyk-code-report.json -o snyk-code-report.html || true Snykのスキャン結果をJSON形式で出力し、それをHTMLレポートに変換してS3バケットにアーティファクトとして保存しています。
Slack通知にはS3のリンクを含んでいますので、マネジメントコンソールからダウンロードして確認することができます。
CloudWatch Logs
CodeBuildのCloudwatch Logsでも確認できます。
さいごに
BacklogのWebhook機能とAWSサービスを組み合わせることで、SnykによるセキュリティスキャンをBacklog Gitリポジトリに対して実行する仕組みを構築しました。
BacklogはCI/CD機能を持たないため、このようなアーキテクチャを活用することで、自動化処理を実現できます。
この記事がどなたかの参考になれば幸いです。
