1. مقدمة
إضافة الأمان في Gemini CLI هي إضافة مفتوحة المصدر في Gemini CLI من إنشاء Google، وتعمل على تحليل الرموز بحثًا عن المخاطر والثغرات الأمنية. يمكنك استخدام إضافة "الأمان" مع Gemini CLI لتحديد مشاكل الأمان محليًا، تمامًا كما تفعل مع أي إضافة أخرى في Gemini CLI. يمكنك أيضًا استخدامه لمراجعة طلبات الدمج على GitHub. في هذا الدرس التطبيقي حول الترميز، سنتناول كيفية استخدام إضافة "الأمان" في مستودع GitHub.
المهام التي ستنفذها
- ضبط المصادقة الآمنة من GitHub إلى Google Cloud
- إنشاء سير عمل GitHub Actions يستدعي إضافة Gemini CLI Security Extension
- إجراء مراجعة أمان لطلب سحب جديد أو حالي باستخدام GitHub Actions
ما ستتعلمه
- كيفية استخدام Workload Identity Federation للمصادقة الآمنة من GitHub Actions إلى Google Cloud
- التعرّف على مزايا استخدام Workload Identity Pool وWorkload Identity Provider بدلاً من مفتاح Gemini API للمصادقة
- كيفية إجراء مراجعة أمان باستخدام طلبات الدمج
- كيفية تفسير مراجعات الأمان التي تعرضها إضافة Security
المتطلبات
- متصفّح ويب
- حساب ومستودع على GitHub
- مشروع على السحابة الإلكترونية من Google
تم تصميم هذا الدرس التطبيقي حول الترميز للمطوّرين الذين يعرفون سير عمل التكامل المستمر/التسليم المستمر على GitHub. ليس من المتوقّع أن تكون على دراية بـ Gemini CLI أو إضافات Gemini CLI. إذا أردت التعرّف على طريقة عمل الإضافات، يمكنك الاطّلاع على درس تطبيقي حول الترميز: بدء استخدام إضافات Gemini CLI.
في هذا الدرس التطبيقي حول الترميز، ستتعلّم كيفية إعداد إضافة الأمان في Gemini CLI في مستودع GitHub. لن نقترح عليك رمزًا برمجيًا لفتح طلب سحب مقابل المستودع الخاص بك لتفعيل العثور على ثغرة أمنية.
2. قبل البدء
إنشاء مشروع أو اختياره
- في Google Cloud Console، في صفحة اختيار المشروع، اختَر مشروع Google Cloud أو أنشِئه.
- تأكَّد من تفعيل الفوترة لمشروعك على السحابة الإلكترونية. كيفية تأكيد الفوترة
- افتح Cloud Shell، وهي بيئة سطر أوامر تعمل في Google Cloud. انقر على تفعيل Cloud Shell في أعلى "وحدة تحكّم Google Cloud".
- بعد الاتصال بـ Cloud Shell، تأكَّد من إثبات هويتك وأنّ المشروع مضبوط على رقم تعريف مشروعك باستخدام الأمر التالي:
gcloud auth list
- نفِّذ الأمر التالي للتأكّد من ضبط الأمر
gcloudلاستخدام مشروعك.
gcloud config list project
- إذا لم يتم ضبط مشروعك، استخدِم الأمر التالي لضبطه:
gcloud config set project ${GOOGLE_CLOUD_PROJECT}
3- إعداد المصادقة من GitHub إلى Google Cloud
آلية العمل
اتحاد هوية عبء العمل هو الطريقة المقترَحة للمصادقة من GitHub Actions إلى Google Cloud.
- بالنسبة إلى كل سير عمل عملية تشغيل مهمة في GitHub Actions، يصدر GitHub كموفّر هوية خارجي رمز JWT (JSON Web Token) موقّعًا. تحتوي الرمز المميّز على "مطالبات" مثل
repositoryوworkflowوjob_workflow_ref، والتي تعمل كبطاقة هوية رقمية لهذا العدّاء المحدّد. في هذا التمرين العملي، ستنشئ سير عمل GitHub Actions يتضمّن مهمة تستخدم الإجراءgoogle-github-actions/run-gemini-cli، والذي سيطلب رمز JWT من GitHub ويرسل هذا الرمز إلى خدمة الرموز المميزة للأمان (STS) في Google Cloud. - ستضبط Workload Identity Pool وموفِّرًا في Google Cloud من خلال ضبط عنوان URL الخاص بالجهة المصدر على عنوان URL الرسمي لخدمة رموز GitHub المميزة
https://token.actions.githubusercontent.comوتحديد "عمليات ربط السمات"، والتي تتضمّن عادةً أسماء المستودعات والفروع. تتحقّق خدمة Google Cloud STS من صحة رمز JWT استنادًا إلى قواعد Workload Identity Pool. إذا كانت جميع المعلومات صحيحة، بما في ذلك عمليات ربط السمات، سيتبادل نظام STS رمز GitHub مقابل رمز دخول موحّد قصير الأجل إلى Google Cloud. - يمكن الآن أن يستخدم الإجراء
google-github-actions/run-gemini-cliفي سير عمل GitHub Actions رمز الدخول الموحّد المؤقت إلى Google Cloud "لانتحال" هوية حساب خدمة مرتبط بمجموعة Workload Identity. يجب أن يتضمّن حساب الخدمة المرتبط أدوار وأذونات إدارة الهوية وإمكانية الوصول (IAM) اللازمة للوصول إلى أي موارد وخدمات على Google Cloud.
مزايا استخدام Workload Identity Federation بدلاً من مفتاح Gemini API
يمكنك إثبات ملكية طلبات Gemini CLI الواردة من GitHub Actions باستخدام مفتاح Gemini API، ويتضمّن ذلك إنشاء سرّ جديد في GitHub Actions باسم GEMINI_API_KEY مع قيمة المفتاح المناسبة. ومع ذلك، لا ننصح بهذا الإجراء للأسباب التالية المتعلّقة بالأمان:
- يمكن أن تتضمّن مفاتيح Gemini API أذونات واسعة النطاق من عمليات ربط أدوار "إدارة الهوية وإمكانية الوصول" الخاصة بها. وعند اختراقها، تتيح الوصول إلى مجموعة كبيرة من موارد وخدمات Google Cloud. تستفيد ميزة Workload Identity Federation من حسابات الخدمة ورموز الدخول القصيرة الأمد، ما يؤدي إلى تعزيز المصادقة بشكل كبير.
- يصعب أيضًا إدارة مفاتيح Gemini API على نطاق واسع. يستغرق تحديد مهام سير العمل التي تستخدم مفتاحًا مكشوفًا وقتًا طويلاً. يستغرق تدوير المفاتيح يدويًا وقتًا أيضًا. من ناحية أخرى، يمكنك بسهولة البحث عن مجموعات وموفّري Workload Identity المرتبطين بمستودعك وتعديلهم وحذفهم من Cloud Console.
- باستخدام مفاتيح Gemini API، عليك دائمًا التأكّد من عدم عرضها عن طريق الخطأ في أي سجلات وصول أو تصحيح أخطاء. باستخدام ميزة Workload Identity Federation، لن يتم تخزين أي أسرار لسير عمل GitHub Actions، بل سيتم تخزين متغيرات أقل حساسية بطبيعتها.
ضبط GitHub Actions وGoogle Cloud
- في Cloud Shell، سجِّل الدخول إلى حسابك على GitHub.
gh auth login
- أنشئ ملفًا جديدًا
setup_workload_identity.shوانسخ الرمز أدناه وألصِقه فيه.
set -e
# Colors for output
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[1;33m'
BLUE='\033[0;34m'
NC='\033[0m' # No Color
# Helper functions
print_info() {
echo -e "${BLUE}ℹ️ $1${NC}"
}
print_success() {
echo -e "${GREEN}✅ $1${NC}"
}
print_warning() {
echo -e "${YELLOW}⚠️ $1${NC}"
}
print_error() {
echo -e "${RED}❌ $1${NC}"
}
print_header() {
echo -e "${BLUE}🚀 $1${NC}"
}
# Default values
GOOGLE_CLOUD_PROJECT=""
GOOGLE_CLOUD_LOCATION="global"
GITHUB_REPO=""
POOL_NAME=""
PROVIDER_NAME=""
# Show help
show_help() {
cat << EOF
Universal Direct Workload Identity Federation Setup for GitHub Actions
USAGE:
$0 --repo OWNER/REPO [OPTIONS]
REQUIRED:
-r, --repo OWNER/REPO GitHub repository (e.g., google/my-repo)
-p, --project GOOGLE_CLOUD_PROJECT Google Cloud project ID
OPTIONS:
--pool-name NAME Custom workload identity pool name (default: auto-generated)
--provider-name NAME Custom workload identity provider name (default: auto-generated)
-h, --help Show this help
EXAMPLES:
# Basic setup for a repository
$0 --repo google/my-repo --project my-gcp-project
# Custom pool name
$0 --repo google/my-repo --project my-gcp-project --pool-name my-pool
# Custom pool and provider names
$0 --repo google/my-repo --project my-gcp-project --pool-name my-pool --provider-name my-provider
ABOUT DIRECT WORKLOAD IDENTITY FEDERATION:
This script sets up Direct Workload Identity Federation (preferred method).
- No intermediate service accounts required
- Direct authentication from GitHub Actions to GCP resources
- Maximum token lifetime of 10 minutes
- You grant permissions directly to the Workload Identity Pool on GCP resources
EOF
}
# Parse command line arguments
while [[ $# -gt 0 ]]; do
case $1 in
-r|--repo)
GITHUB_REPO="$2"
shift 2
;;
-p|--project)
GOOGLE_CLOUD_PROJECT="$2"
shift 2
;;
--pool-name)
POOL_NAME="$2"
shift 2
;;
--provider-name)
PROVIDER_NAME="$2"
shift 2
;;
-l|--location)
GOOGLE_CLOUD_LOCATION="$2"
shift 2
;;
-h|--help)
show_help
exit 0
;;
*)
print_error "Unknown option: $1"
echo "Use --help for usage information."
exit 1
;;
esac
done
# Validate required arguments
if [[ -z "${GITHUB_REPO}" ]]; then
print_error "Repository is required. Use --repo OWNER/REPO"
echo ""
echo "💡 To find your repository name:"
echo " 1. Go to your GitHub repository"
echo " 2. The URL shows: https://github.com/OWNER/REPOSITORY"
echo " 3. Use: OWNER/REPOSITORY (e.g., google/golang)"
echo ""
echo "Use --help for usage information."
exit 1
fi
if [[ -z "${GOOGLE_CLOUD_PROJECT}" ]]; then
print_error "GCP project is required. Use --project GOOGLE_CLOUD_PROJECT"
echo ""
echo "💡 To find your project ID:"
echo " 1. Go to your Google Cloud console"
echo " 2. The URL displays: https://console.cloud.google.com/welcome?project=GOOGLE_CLOUD_PROJECT"
echo ""
echo "Use --help for usage information."
exit 1
fi
# Validate repository format
if [[ ! "${GITHUB_REPO}" =~ ^[a-zA-Z0-9._-]+/[a-zA-Z0-9._-]+$ ]]; then
print_error "Invalid repository format '${GITHUB_REPO}'"
echo "Expected format: owner/repo (e.g., google/my-repo)"
exit 1
fi
# Extract repository components
REPO_OWNER=$(echo "${GITHUB_REPO}" | cut -d'/' -f1)
# Generate unique names based on repository
REPO_HASH_INPUT=$(echo -n "${GITHUB_REPO}")
REPO_HASH_SHA=$(echo "${REPO_HASH_INPUT}" | shasum -a 256)
REPO_HASH=$(echo "${REPO_HASH_SHA}" | cut -c1-8)
# Use custom pool name if provided, otherwise generate one
if [[ -z "${POOL_NAME}" ]]; then
POOL_NAME="github-${REPO_HASH}"
fi
# Use custom provider name if provided, otherwise generate one
if [[ -z "${PROVIDER_NAME}" ]]; then
PROVIDER_NAME="gh-${REPO_HASH}"
fi
print_header "Starting Direct Workload Identity Federation setup"
echo "📦 Repository: ${GITHUB_REPO}"
echo "☁️ Project: ${GOOGLE_CLOUD_PROJECT}"
echo "🏊 Pool: ${POOL_NAME}"
echo "🆔 Provider: ${PROVIDER_NAME}"
echo ""
# Verify gcloud authentication
print_info "Verifying gcloud authentication..."
GCLOUD_AUTH_LIST_RAW=$(gcloud auth list --filter=status:ACTIVE --format="value(account)")
GCLOUD_AUTH_LIST=$(echo "${GCLOUD_AUTH_LIST_RAW}" | head -1)
if [[ -z "${GCLOUD_AUTH_LIST}" ]]; then
print_error "No active gcloud authentication found"
echo "Please run: gcloud auth login"
exit 1
fi
# Test project access
if ! gcloud projects describe "${GOOGLE_CLOUD_PROJECT}" > /dev/null 2>&1; then
print_error "Cannot access project '${GOOGLE_CLOUD_PROJECT}'"
echo "Please verify:"
echo " 1. Project ID is correct"
echo " 2. You have permissions on this project"
echo " 3. Project exists and is not deleted"
exit 1
fi
print_success "Authentication and project access verified"
# Step 1: Enable required APIs
print_header "Step 1: Enabling required Google Cloud APIs"
required_apis=(
"aiplatform.googleapis.com"
"cloudaicompanion.googleapis.com"
"cloudresourcemanager.googleapis.com"
"cloudtrace.googleapis.com"
"iam.googleapis.com"
"iamcredentials.googleapis.com"
"logging.googleapis.com"
"monitoring.googleapis.com"
"sts.googleapis.com"
)
gcloud services enable "${required_apis[@]}" --project="${GOOGLE_CLOUD_PROJECT}"
print_success "APIs enabled successfully."
# Step 2: Create Workload Identity Pool
print_header "Step 2: Creating Workload Identity Pool"
if ! gcloud iam workload-identity-pools describe "${POOL_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" &> /dev/null; then
print_info "Creating Workload Identity Pool: ${POOL_NAME}"
gcloud iam workload-identity-pools create "${POOL_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--display-name="GitHub Actions Pool"
print_success "Workload Identity Pool created"
else
print_info "Workload Identity Pool '${POOL_NAME}' exists. Verifying state..."
# Fetch the current state of the existing pool.
POOL_STATE=$(gcloud iam workload-identity-pools describe "${POOL_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--format="value(state)")
if [[ "${POOL_STATE}" == "ACTIVE" ]]; then
# Pool exists and is in the correct state.
print_success "Workload Identity Pool already exists and is ACTIVE."
else
if [[ "${POOL_STATE}" == "DELETED" ]]; then
# Pool exists but is DELETED. Undelete the pool.
print_warning "Workload Identity Pool already exists but is in a DELETED state. Running 'undelete'."
gcloud iam workload-identity-pools undelete "${POOL_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}"
else
# Pool exists but is in an unexpected state.
print_error "Pool '${POOL_NAME}' is in an unexpected state: '${POOL_STATE}'. Expected states are: {'ACTIVE', 'DELETED'}. Exiting"
exit 1
fi
fi
fi
# Get the pool ID
WIF_POOL_ID=$(gcloud iam workload-identity-pools describe "${POOL_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--format="value(name)")
# Step 3: Create Workload Identity Provider
print_header "Step 3: Creating Workload Identity Provider"
ATTRIBUTE_CONDITION="assertion.repository_owner == '${REPO_OWNER}'"
if ! gcloud iam workload-identity-pools providers describe "${PROVIDER_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--workload-identity-pool="${POOL_NAME}" &> /dev/null; then
print_info "Creating Workload Identity Provider: ${PROVIDER_NAME}"
gcloud iam workload-identity-pools providers create-oidc "${PROVIDER_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--workload-identity-pool="${POOL_NAME}" \
--display-name="${PROVIDER_NAME}" \
--attribute-mapping="google.subject=assertion.sub,attribute.actor=assertion.actor,attribute.repository=assertion.repository,attribute.repository_owner=assertion.repository_owner" \
--attribute-condition="${ATTRIBUTE_CONDITION}" \
--issuer-uri="https://token.actions.githubusercontent.com"
print_success "Workload Identity Provider created"
else
print_info "Workload Identity Provider '${PROVIDER_NAME}' exists. Verifying state..."
# Fetch the current state of the existing provider.
PROVIDER_STATE=$(gcloud iam workload-identity-pools providers describe "${PROVIDER_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--workload-identity-pool="${POOL_NAME}" \
--format="value(state)")
if [[ "${PROVIDER_STATE}" == "ACTIVE" ]]; then
# Provider exists and is in the correct state.
print_success "Workload Identity Provider already exists and is ACTIVE."
else
if [[ "${PROVIDER_STATE}" == "DELETED" ]]; then
# Provider exists but is DELETED. Undelete the provider.
print_warning "Workload Identity Provider already exists but is in a DELETED state. Running 'undelete'."
gcloud iam workload-identity-pools providers undelete "${PROVIDER_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--workload-identity-pool="${POOL_NAME}"
else
# Provider exists but is in an unexpected state.
print_error "Provider '${PROVIDER_NAME}' is in an unexpected state: '${PROVIDER_STATE}'. Expected states are: {'ACTIVE', 'DELETED'}. Exiting"
exit 1
fi
fi
fi
# Step 4: Grant required permissions to the Workload Identity Pool
print_header "Step 4: Granting required permissions to Workload Identity Pool"
PRINCIPAL_SET="principalSet://iam.googleapis.com/${WIF_POOL_ID}/attribute.repository/${GITHUB_REPO}"
print_info "Skipped: Granting required permissions directly to the Workload Identity Pool..."
# Step 5: Create and Configure Service Account for Gemini CLI
print_header "Step 5: Create and Configure Service Account for Gemini CLI"
SERVICE_ACCOUNT_NAME="gemini-cli-${REPO_HASH}"
SERVICE_ACCOUNT_EMAIL="${SERVICE_ACCOUNT_NAME}@${GOOGLE_CLOUD_PROJECT}.iam.gserviceaccount.com"
# Create service account if it doesn't exist
if ! gcloud iam service-accounts describe "${SERVICE_ACCOUNT_EMAIL}" --project="${GOOGLE_CLOUD_PROJECT}" &> /dev/null; then
print_info "Creating Service Account: ${SERVICE_ACCOUNT_NAME}"
gcloud iam service-accounts create "${SERVICE_ACCOUNT_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--display-name="Gemini CLI Service Account"
print_success "Service Account created: ${SERVICE_ACCOUNT_EMAIL}"
else
print_success "Service Account already exists: ${SERVICE_ACCOUNT_EMAIL}"
fi
# Grant permissions to the service account on the project
print_info "Granting 'Cloud AI Companion User' role to Service Account..."
gcloud projects add-iam-policy-binding "${GOOGLE_CLOUD_PROJECT}" \
--role="roles/cloudaicompanion.user" \
--member="serviceAccount:${SERVICE_ACCOUNT_EMAIL}" \
--condition=None
# Allow the service account to generate an access tokens
print_info "Granting 'Service Account Token Creator' role to Service Account..."
gcloud projects add-iam-policy-binding "${GOOGLE_CLOUD_PROJECT}" \
--role="roles/iam.serviceAccountTokenCreator" \
--member="serviceAccount:${SERVICE_ACCOUNT_EMAIL}" \
--condition=None
# Grant logging permissions to the service account
print_info "Granting 'Logging Writer' role to Service Account..."
gcloud projects add-iam-policy-binding "${GOOGLE_CLOUD_PROJECT}" \
--role="roles/logging.logWriter" \
--member="serviceAccount:${SERVICE_ACCOUNT_EMAIL}" \
--condition=None
# Grant monitoring permissions to the service account
print_info "Granting 'Monitoring Editor' role to Service Account..."
gcloud projects add-iam-policy-binding "${GOOGLE_CLOUD_PROJECT}" \
--role="roles/monitoring.editor" \
--member="serviceAccount:${SERVICE_ACCOUNT_EMAIL}" \
--condition=None
# Grant tracing permissions to the service account
print_info "Granting 'Cloud Trace Agent' role to Service Account..."
gcloud projects add-iam-policy-binding "${GOOGLE_CLOUD_PROJECT}" \
--role="roles/cloudtrace.agent" \
--member="serviceAccount:${SERVICE_ACCOUNT_EMAIL}" \
--condition=None
# Grant Vertex AI permissions to the service account
print_info "Granting 'Vertex AI User' role to Service Account..."
gcloud projects add-iam-policy-binding "${GOOGLE_CLOUD_PROJECT}" \
--role="roles/aiplatform.user" \
--member="serviceAccount:${SERVICE_ACCOUNT_EMAIL}" \
--condition=None
# Allow the Workload Identity Pool to impersonate the Service Account
print_info "Allowing GitHub Actions from '${GITHUB_REPO}' to impersonate the Service Account..."
gcloud iam service-accounts add-iam-policy-binding "${SERVICE_ACCOUNT_EMAIL}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--role="roles/iam.workloadIdentityUser" \
--member="${PRINCIPAL_SET}"
print_success "GitHub Actions can now impersonate ${SERVICE_ACCOUNT_NAME}"
# Get the full provider name for output
WIF_PROVIDER_FULL=$(gcloud iam workload-identity-pools providers describe "${PROVIDER_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--workload-identity-pool="${POOL_NAME}" \
--format="value(name)")
# Step 6: Output configuration
print_header "🎉 Setup Complete!"
echo ""
print_success "Direct Workload Identity Federation has been configured for your repository!"
echo ""
print_header "Permissions Granted"
echo ""
print_success "The following permissions have been automatically granted to your repository:"
echo "• roles/logging.logWriter - Write logs to Cloud Logging"
echo "• roles/monitoring.editor - Create and update metrics in Cloud Monitoring"
echo "• roles/cloudtrace.agent - Send traces to Cloud Trace"
echo "• roles/aiplatform.user - Use Vertex AI for model inference"
echo ""
print_success "A Service Account (${SERVICE_ACCOUNT_EMAIL}) was created with the following roles:"
echo "• roles/cloudaicompanion.user - Use Code Assist for model inference"
echo "• roles/iam.serviceAccountTokenCreator"
echo ""
# Check for `gh` CLI and set variables automatically if available
if command -v gh &> /dev/null; then
print_info "The 'gh' CLI is installed. Setting variables automatically..."
gh variable set GCP_WIF_PROVIDER --body "${WIF_PROVIDER_FULL}" --repo "${GITHUB_REPO}"
gh variable set GOOGLE_CLOUD_PROJECT --body "${GOOGLE_CLOUD_PROJECT}" --repo "${GITHUB_REPO}"
gh variable set GOOGLE_CLOUD_LOCATION --body "${GOOGLE_CLOUD_LOCATION}" --repo "${GITHUB_REPO}"
gh variable set SERVICE_ACCOUNT_EMAIL --body "${SERVICE_ACCOUNT_EMAIL}" --repo "${GITHUB_REPO}"
gh variable set GOOGLE_GENAI_USE_VERTEXAI --body "true" --repo "${GITHUB_REPO}"
print_success "GitHub variables have been set automatically!"
else
print_warning "The 'gh' CLI was not found. Either install it and rerun this script OR set the below variables manually."
echo " For manual setup, go to https://github.com/${GITHUB_REPO}/settings/variables/actions and add the following repository variables:"
echo ""
echo "🔑 Variable Name: GCP_WIF_PROVIDER"
echo " Variable Value: ${WIF_PROVIDER_FULL}"
echo ""
echo "☁️ Variable Name: GOOGLE_CLOUD_PROJECT"
echo " Variable Value: ${GOOGLE_CLOUD_PROJECT}"
echo ""
echo "☁️ Variable Name: GOOGLE_CLOUD_LOCATION"
echo " Variable Value: ${GOOGLE_CLOUD_LOCATION}"
echo ""
echo "☁️ Variable Name: SERVICE_ACCOUNT_EMAIL"
echo " Variable Value: ${SERVICE_ACCOUNT_EMAIL}"
echo ""
fi
print_success "Setup completed successfully! 🚀"
- حوِّل النص البرمجي إلى ملف تنفيذي.
chmod +x setup_workload_identity.sh
- شغِّل النص البرمجي.
./setup_workload_identity.sh --repo {OWNER/REPO} --project {GOOGLE_CLOUD_PROJECT}
4. إنشاء سير عمل GitHub Actions
- اطّلِع على مستودع GitHub تملكه.
git clone {YOUR_REPO}
cd {YOUR REPO}
- أنشئ سير عمل GitHub Actions يستدعي أمرًا يبدأ بشرطة مائلة
/security:analyze-github-prمن خلال نسخ مثال على نص برمجي لسير العملymlمن مستودع/gemini-cli-extensions/security.
git checkout -b workflow
mkdir .github/ && cd .github/
mkdir workflows/ && cd workflows/
curl -L https://raw.githubusercontent.com/gemini-cli-extensions/security/refs/heads/main/.github/workflows/gemini-review.yml -o gemini-review.yml
- أرسِل سير عمل GitHub Actions إلى المصدر البعيد على GitHub.
git add .github/workflows/gemini-review.yml
git commit -m "add new gha workflow"
git push --set-upstream origin workflow
5- تنفيذ سير عمل تحليل الأمان على طلبات السحب الجديدة والحالية
ابدأ طلب سحب جديدًا في مستودعك على GitHub أو أضِف تعليقًا جديدًا "@gemini-cli /review" بصفتك مالك مستودع أو مساهمًا. سيؤدي ذلك إلى بدء مراجعة أمان لطلب السحب. ستصنّف إضافة Gemini CLI Security Extension أي مشاكل أمان تعثر عليها حسب فئات الخطورة، بدءًا من "خطيرة للغاية" و"خطيرة" و"متوسطة" وصولاً إلى "منخفضة".
في ما يلي مثال على مراجعة أمان في طلب سحب جديد ومثال على مراجعة أمان في طلب سحب حالي.
6. استكشاف المزيد
ننصحك باستكشاف قائمة متزايدة من الأوامر المخصّصة التي تتضمّن إمكانات أمان جديدة في إضافة "الأمان" في Gemini CLI والبدء في استخدامها في مهام سير العمل. على سبيل المثال:
- تجري
/security:scan-depsمراجع تبادلية مع OSV.dev بشأن العناصر التابعة لمشروعك.
يمكنك أيضًا الاطّلاع على ملاحظات الإصدار لمعرفة أحدث الميزات وإصلاحات الأخطاء.
7. تهانينا
تهانينا، لقد نجحت في إعداد مستودع GitHub لاستخدام إضافة الأمان لواجهة سطر الأوامر في Gemini من أجل تحليل طلبات الدمج بحثًا عن المخاطر والثغرات الأمنية.