chore: setup CI/CD workflows with security hardening

Inlet-back · Inlet-back · commit 0cfbb113bab0 · 2026-02-17T12:37:17.000+09:00
Summary: Added comprehensive CI workflows for Backend (FastAPI) and Frontend (Next.js) with security-first approach based on Issue #3. Backend CI (.github/workflows/backend.yml): - Poetry-based dependency management - Ruff linting (fast Rust-based linter) - Pytest with proper exit code handling (only tolerate exit 5 for no tests) - Python 3.13 support Frontend CI (.github/workflows/frontend.yml): - npm ci for reproducible installs - ESLint + Next.js build validation - Mock environment variables for CI builds Security Gatekeeper (.github/workflows/security.yml): - Dependency-only triggers (pyproject.toml, package.json, Dockerfiles) - TruffleHog secret scanning (pinned to v3.82.13) - SBOM generation + Grype vulnerability scan (Critical only) - Support for main/develop branches (Git Flow compatible) - Managed exceptions via .grype.yaml with documented justification - Emergency bypass via skip-security label (admin-only) Security Improvements: - Pin all dependencies to version ranges (no wildcards) - Event-specific SHA refs for accurate diff scanning - Proper pytest exit code handling to catch real failures - Tool versions pinned to prevent supply-chain attacks Documentation: - ADR 001: CI Strategy & Tool Selection - Vulnerability exception config (.grype.yaml) Rationale: - Unpinned dependencies pose supply-chain risk - Early security detection at develop branch saves time - Dependency-only scans optimize CI cost - Documented exceptions enable realistic security posture Close #3
diff --git a/.github/decisions/001-ci-strategy.md b/.github/decisions/001-ci-strategy.md
@@ -0,0 +1,95 @@
+# ADR 001: CI Strategy & Tool Selection
+
+## Status
+
+Accepted
+
+## Context
+
+プロジェクトの初期段階において、Backend (FastAPI) と Frontend (Next.js) のコード品質とデプロイ可能性を保証するためのCIパイプラインが必要でした。
+特に、Python環境におけるリンター/フォーマッターの選定と、Next.jsビルド時の環境変数依存性が課題となっていました。
+
+## Decision
+
+### 1. Backend: Ruff & Pytest
+
+- **Decision**: Pythonのリンター/フォーマッターとして `Ruff` を採用し、テストランナーとして `pytest` を採用する。
+- **Reason**:
+  - `Ruff` は Rust製で極めて高速であり、従来の `Flake8`, `Black`, `isort` などの機能を単体でカバーできるため、CI時間を短縮し設定を簡素化できる。
+  - `pytest` はPythonエコシステムのデファクトスタンダードであり、将来的な拡張性が高い。
+
+### 2. Frontend: npm ci & Mock Env
+
+- **Decision**: 依存関係インストールに `npm ci` を使用し、ビルド時にダミーの環境変数を注入する。
+- **Reason**:
+  - `npm ci` は `package-lock.json` に厳密に基づいたインストールを行うため、CI環境での再現性が保証される。
+  - Next.jsのビルドプロセス（Static Generation等）でAPI URLなどの環境変数が参照される可能性があるため、CI上ではダミー値を設定してビルドエラーを防ぐ戦略をとる。
+
+### 3. Workflow Separation
+
+- **Decision**: `backend.yml` と `frontend.yml` にワークフローを分離し、`paths` フィルタを設定する。
+- **Reason**:
+  - モノレポ構成において、関連しない変更（例：Frontendのみの修正）でBackendのCIが走ることを防ぎ、リソース消費とフィードバック時間を最適化するため。
+
+### 4. Dependency Version Pinning (Supply Chain Security)
+
+- **Decision**: Python依存関係を `*` (any version) から具体的なバージョン範囲 (例: `^0.115.0`) に固定する。
+- **Reason**:
+  - `*` 指定では、PyPIから常に最新版が取得されるため、パッケージが乗っ取られた場合（supply-chain attack）、悪意あるコードがCI環境や本番環境で実行されるリスクがある。
+  - バージョン範囲を固定することで、依存関係の更新を意図的・管理的に行い、セキュリティリスクを低減する。
+
+### 5. GitHub Actions Version Pinning
+
+- **Decision**: `trufflesecurity/trufflehog@main` をタグバージョン（例: `@v3.82.13`）に固定する。
+- **Reason**:
+  - `@main` ブランチ参照は上流の変更によってCI動作が予期せず変わる可能性があり、サプライチェーンリスクが高い。
+  - タグやコミットSHAに固定することで、CI実行内容の不変性と再現性を担保する。
+
+### 6. Test Exit Code Handling
+
+- **Decision**: `pytest || echo ...` の代わりに、exit code 5（テスト未検出）のみを許容し、実際のテスト失敗は検知する。
+- **Reason**:
+  - `|| echo` は全てのエラーを握りつぶしてしまい、テストが実際に失敗してもCIが成功扱いになる。
+  - exit code を判定することで、「テストがまだない状態」と「テストが失敗した状態」を正確に区別できる。
+
+### 7. Event-Specific Git References in Security Scan
+
+- **Decision**: `github.head_ref` / `github.event.repository.default_branch` の代わりに、イベント種別に応じた適切なSHA参照を使用する。
+- **Reason**:
+  - `github.head_ref` は push イベントでは空文字になるため、差分スキャンが成立しない。
+  - PR時は `github.event.pull_request.{base,head}.sha`、push時は `github.event.before` / `github.sha` を使用することで、正確な差分スキャンを実現する。
+
+### 8. Dependency-Only Security Scans
+
+- **Decision**: セキュリティスキャンは依存関係ファイル変更時のみ実行する（pyproject.toml, package.json, Dockerfile等）。
+- **Reason**:
+  - SBOM生成と脆弱性スキャンはリソース消費が大きい。
+  - アプリケーションコードの変更では依存関係の脆弱性状況は変わらないため、実行不要。
+  - CI時間とコストの最適化。
+- **Branch Strategy**: `main` と `develop` の両方で実行し、Git Flow運用に対応。早期検出を優先。
+
+### 9. Vulnerability Exception Management
+
+- **Decision**: `.grype.yaml` でCritical脆弱性の除外設定を許可する。
+- **Reason**:
+  - すべての脆弱性が実際のリスクとなるわけではない（未使用機能、誤検知等）。
+  - 修正が存在しない場合や、他の制御で緩和されている場合の対応が必要。
+  - 除外には文書化された正当な理由（notes）を必須とし、四半期ごとにレビューする運用を前提とする。
+
+### 10. Emergency Admin Bypass
+
+- **Decision**: `skip-security` ラベルをPRに付与することで、管理者が緊急時にセキュリティチェックをバイパス可能にする。
+- **Reason**:
+  - 本番障害などの緊急対応時、セキュリティスキャンで修正がブロックされる状況を回避する必要がある。
+  - ラベル付与はGitHub権限管理で制御可能（管理者のみ）。
+  - バイパスは監査ログに記録され、事後レビューが可能。
+
+## Consequences
+
+- Backend開発者はローカルでも `ruff` を使用してコード規約を遵守する必要がある。
+- FrontendビルドがCIで成功しても、実行時エラー（環境変数設定ミスなど）は検知できないため、別途E2Eテストなどの検討が必要になる可能性がある。
+- 依存関係のバージョンを固定したため、定期的なアップデート戦略（Dependabotなど）が必要になる。
+- TruffleHogなどのツールバージョンを固定したため、新機能や修正を取り込むには手動更新が必要。
+- セキュリティスキャンを依存関係変更時のみに限定したため、アプリケーションコード変更でのCI時間が短縮される。
+- `.grype.yaml` での除外管理には厳格な運用ルール（文書化、定期レビュー）が必須。
+- 緊急バイパス機能は慎重に使用し、事後の振り返りと恒久対策の実施が必要。
diff --git a/.github/workflows/backend.yml b/.github/workflows/backend.yml
@@ -0,0 +1,61 @@
+name: Backend CI
+
+on:
+  push:
+    branches: ["main", "develop"]
+    paths:
+      - "backend/**"
+      - ".github/workflows/backend.yml"
+  pull_request:
+    types: [opened, synchronize, reopened]
+    paths:
+      - "backend/**"
+      - ".github/workflows/backend.yml"
+
+defaults:
+  run:
+    working-directory: ./backend
+
+jobs:
+  check:
+    name: Lint & Test (Python)
+    runs-on: ubuntu-latest
+
+    steps:
+      - name: Checkout code
+        uses: actions/checkout@v4
+
+      - name: Install Poetry
+        run: pipx install poetry
+
+      - name: Set up Python 3.13
+        uses: actions/setup-python@v5
+        with:
+          python-version: "3.13"
+          # Note: cache removed temporarily until poetry.lock is committed
+          # Decision: Generate lock file during CI to avoid commit noise
+          # Reason: In early development, lockfile can be generated on-the-fly
+
+      - name: Install Dependencies
+        # Decision: Allow poetry to generate lock file if missing
+        # Reason: Simplifies workflow when lock file is not yet committed
+        run: poetry install --no-interaction --no-root
+
+      # Decision: Use Ruff for fast linting
+      # Reason: Ruff is significantly faster than Flake8/Black and covers both roles.
+      - name: Run Lint (Ruff)
+        run: poetry run ruff check .
+
+      # Decision: Run Pytest even if no tests exist yet (ensure setup works)
+      # Reason: Validates that the test runner environment is correctly configured.
+      # Security: Only tolerate exit code 5 (no tests found), fail on actual test failures
+      - name: Run Tests
+        run: |
+          poetry run pytest || EXIT_CODE=$?
+          if [ "${EXIT_CODE:-0}" -eq 5 ]; then
+            echo "No tests found, but runner works"
+            exit 0
+          elif [ "${EXIT_CODE:-0}" -ne 0 ]; then
+            echo "Tests failed with exit code $EXIT_CODE"
+            exit $EXIT_CODE
+          fi
diff --git a/.github/workflows/frontend.yml b/.github/workflows/frontend.yml
@@ -0,0 +1,51 @@
+name: Frontend CI
+
+on:
+  push:
+    branches: ["main", "develop"]
+    paths:
+      - "frontend/**"
+      - ".github/workflows/frontend.yml"
+  pull_request:
+    types: [opened, synchronize, reopened]
+    paths:
+      - "frontend/**"
+      - ".github/workflows/frontend.yml"
+
+defaults:
+  run:
+    working-directory: ./frontend
+
+jobs:
+  build:
+    name: Build & Lint (Next.js)
+    runs-on: ubuntu-latest
+
+    env:
+      # Decision: Mock environment variables for CI build
+      # Reason: Next.js build phases might access env vars.
+      # CI should not depend on real production secrets unless necessary for e2e.
+      NEXT_PUBLIC_API_URL: "http://localhost:8000"
+
+    steps:
+      - name: Checkout code
+        uses: actions/checkout@v4
+
+      - name: Set up Node.js
+        uses: actions/setup-node@v4
+        with:
+          node-version: "20"
+          cache: "npm"
+          cache-dependency-path: frontend/package-lock.json
+
+      - name: Install Dependencies
+        # Decision: Use `npm ci` instead of `npm install`
+        # Reason: Ensures clean, reproducible installs based on lockfile.
+        run: npm ci
+
+      - name: Run Lint
+        run: npm run lint
+
+      - name: Run Build
+        # This checks for type errors and build capability
+        run: npm run build
diff --git a/.github/workflows/security.yml b/.github/workflows/security.yml
@@ -0,0 +1,79 @@
+name: Security Gatekeeper
+
+on:
+  pull_request:
+    branches: ["main", "develop"]
+    # Decision: Run on both main and develop branches for Git Flow compatibility
+    # Reason: Detect security issues early (at develop) rather than late (at main)
+    # Decision: Only run on dependency file changes to optimize CI resources
+    # Reason: Security scans are expensive; limit to supply-chain relevant changes
+    paths:
+      - "backend/pyproject.toml"
+      - "backend/poetry.lock"
+      - "frontend/package.json"
+      - "frontend/package-lock.json"
+      - "backend/Dockerfile"
+      - "frontend/Dockerfile"
+      - "docker-compose.yml"
+      - ".grype.yaml"
+      - ".github/workflows/security.yml"
+  push:
+    branches: ["main", "develop"]
+    paths:
+      - "backend/pyproject.toml"
+      - "backend/poetry.lock"
+      - "frontend/package.json"
+      - "frontend/package-lock.json"
+      - "backend/Dockerfile"
+      - "frontend/Dockerfile"
+      - "docker-compose.yml"
+      - ".grype.yaml"
+      - ".github/workflows/security.yml"
+
+jobs:
+  security-check:
+    name: Supply Chain & Secret Scan
+    runs-on: ubuntu-latest
+    timeout-minutes: 5
+    # Decision: Allow admin bypass via label for emergency situations
+    # Reason: Critical production issues may require temporary security bypass
+    if: ${{ !contains(github.event.pull_request.labels.*.name, 'skip-security') }}
+
+    steps:
+      # Decision: Fail on Critical vulnerabilities, allow exceptions via .grype.yaml
+      # Reason: Critical CVEs pose immediate risk; exceptions require documented justification
+      - name: Vulnerability Scan
+        uses: anchore/scan-action@v5
+        with:
+          sbom: sbom.spdx.json
+          fail-build: true
+          severity-cutoff: critical
+          # Decision: Support exception configuration for justified ignores
+          # Reason: Some vulnerabilities may not apply to our use case or have no fix available
+          only-fixed: false
+          add-cpes-if-none: falsexed version ensures immutability
+      - name: Secret Scan
+        uses: trufflesecurity/trufflehog@v3.82.13
+        with:
+          path: ./
+          # Decision: Use event-specific refs for proper diff scanning
+          # Reason: github.head_ref is empty on push events; use conditional expressions
+          base: ${{ github.event.pull_request.base.sha || github.event.before }}
+          head: ${{ github.event.pull_request.head.sha || github.sha }}
+          extra_args: --only-verified
+
+      # 2. SBOM Generation (Syft)
+      - name: Generate SBOM
+        uses: anchore/sbom-action@v0
+        with:
+          path: .
+          format: spdx-json
+          output-file: sbom.spdx.json
+
+      # 3. Vulnerability Scan (Grype) - Critical Only
+      - name: Vulnerability Scan
+        uses: anchore/scan-action@v5
+        with:
+          sbom: sbom.spdx.json
+          fail-build: true
+          severity-cutoff: critical # Critical以外は通す（ハッカソン用）
diff --git a/.grype.yaml b/.grype.yaml
@@ -0,0 +1,34 @@
+# Grype Vulnerability Scan Configuration
+# Purpose: Define exceptions for known vulnerabilities with documented justification
+# Decision: Allow exclusion of vulnerabilities with valid business/technical reasons
+# Reason: Not all CVEs apply to our context; some may have no available fix
+
+# Format:
+# ignore:
+#   - vulnerability: CVE-YYYY-XXXXX
+#     fix-state: unknown|fixed|not-fixed|wont-fix
+#     package:
+#       name: package-name
+#       version: version-pattern
+#     notes: |
+#       Justification for ignoring this vulnerability.
+#       Example reasons:
+#       - Not exploitable in our usage pattern
+#       - Mitigated by other controls (WAF, network isolation)
+#       - Awaiting upstream fix (link to issue)
+#       - False positive (explain why)
+
+# Example:
+# ignore:
+#   - vulnerability: CVE-2024-12345
+#     fix-state: not-fixed
+#     package:
+#       name: example-package
+#       version: "1.2.3"
+#     notes: |
+#       This vulnerability affects a feature we do not use (admin panel).
+#       Our application only uses the public API, which is not vulnerable.
+#       Tracking upstream fix: https://github.com/example/example-package/issues/123
+
+# Decision Log: All exceptions must be reviewed quarterly and removed when fixed
+ignore: []
diff --git a/backend/pyproject.toml b/backend/pyproject.toml
@@ -6,8 +6,16 @@ authors = ["Your Name <you@example.com>"]
 
 [tool.poetry.dependencies]
 python = "^3.13"
-fastapi = "*"
-uvicorn = {extras = ["standard"], version = "*"}
+# Decision: Pin dependencies to specific version ranges (not "*")
+# Reason: Mitigates supply-chain risk from hijacked package updates
+fastapi = "^0.115.0"
+uvicorn = {extras = ["standard"], version = "^0.32.0"}
+
+[tool.poetry.group.dev.dependencies]
+# Decision: Pin dev dependencies to prevent CI instability
+# Reason: Unpinned versions can introduce breaking changes unexpectedly
+ruff = "^0.8.0"
+pytest = "^8.3.0"
 
 [build-system]
 requires = ["poetry-core"]
