1. ভূমিকা
জেমিনি সিএলআই সিকিউরিটি এক্সটেনশন হল একটি গুগল-নির্মিত ওপেন সোর্স জেমিনি সিএলআই এক্সটেনশন যা সুরক্ষা ঝুঁকি এবং দুর্বলতার জন্য কোড বিশ্লেষণ করে। আপনি জেমিনি সিএলআই সহ সুরক্ষা এক্সটেনশনটি স্থানীয়ভাবে সুরক্ষা সমস্যাগুলি সনাক্ত করতে ব্যবহার করতে পারেন, ঠিক যেমন আপনি অন্য কোনও জেমিনি সিএলআই এক্সটেনশনের সাথে করেন। আপনি গিটহাবের পুল রিকোয়েস্ট পর্যালোচনা করার জন্য এটি ব্যবহার করতে পারেন। এই কোডল্যাবে, আমরা আপনার গিটহাব রিপোজিটরিতে সুরক্ষা এক্সটেনশনটি কীভাবে ব্যবহার করবেন তা দেখব।
তুমি কি করবে
- GitHub থেকে Google ক্লাউডে নিরাপদ প্রমাণীকরণ কনফিগার করুন
- একটি GitHub Actions ওয়ার্কফ্লো তৈরি করুন যা Gemini CLI সিকিউরিটি এক্সটেনশনের উপর নির্ভর করে।
- GitHub Actions ব্যবহার করে একটি নতুন বা বিদ্যমান PR-এর নিরাপত্তা পর্যালোচনা চালান
তুমি কি শিখবে
- GitHub Actions থেকে Google Cloud-এ নিরাপদ প্রমাণীকরণের জন্য Workload Identity Federation কীভাবে ব্যবহার করবেন
- প্রমাণীকরণের জন্য একটি জেমিনি API কী ব্যবহার করে একটি ওয়ার্কলোড আইডেন্টিটি পুল এবং ওয়ার্কলোড আইডেন্টিটি প্রোভাইডার ব্যবহারের সুবিধাগুলি জানুন।
- পিআরএস দিয়ে কীভাবে নিরাপত্তা পর্যালোচনা চালানো যায়
- সিকিউরিটি এক্সটেনশন দ্বারা প্রদত্ত নিরাপত্তা পর্যালোচনাগুলি কীভাবে ব্যাখ্যা করবেন
তোমার যা লাগবে
- একটি ওয়েব ব্রাউজার
- একটি GitHub অ্যাকাউন্ট এবং সংগ্রহস্থল
- একটি গুগল ক্লাউড প্রকল্প
এই কোডল্যাবটি GitHub-এর CI/CD ওয়ার্কফ্লো সম্পর্কে পরিচিত ডেভেলপারদের জন্য তৈরি করা হয়েছে। আপনার Gemini CLI বা Gemini CLI এক্সটেনশনের সাথে পরিচিত হওয়ার আশা করা হয় না। এক্সটেনশনগুলি কীভাবে কাজ করে তা জানতে চাইলে, কোডল্যাবটি দেখুন: Getting Started with Gemini CLI এক্সটেনশনগুলি ।
এই কোডল্যাবে, আপনি শিখবেন কিভাবে আপনার GitHub রিপোজিটরিতে Gemini CLI সিকিউরিটি এক্সটেনশন সেট আপ করবেন। আমরা আপনাকে আপনার রিপোজিটরির বিরুদ্ধে একটি PR খোলার জন্য কোড সুপারিশ করব না যাতে কোনও নিরাপত্তা দুর্বলতা খুঁজে পাওয়া যায়।
2. শুরু করার আগে
একটি প্রকল্প তৈরি করুন বা নির্বাচন করুন
- গুগল ক্লাউড কনসোলে , প্রজেক্ট সিলেক্টর পৃষ্ঠায়, একটি গুগল ক্লাউড প্রজেক্ট নির্বাচন করুন বা তৈরি করুন।
- আপনার ক্লাউড প্রোজেক্টের জন্য বিলিং সক্ষম আছে কিনা তা নিশ্চিত করুন। বিলিং কীভাবে যাচাই করবেন তা জানুন।
- ওপেন ক্লাউড শেল , গুগল ক্লাউডে চলমান একটি কমান্ড-লাইন পরিবেশ। গুগল ক্লাউড কনসোলের শীর্ষে অ্যাক্টিভেট ক্লাউড শেল ক্লিক করুন।
- ক্লাউড শেলের সাথে সংযুক্ত হয়ে গেলে, নিম্নলিখিত কমান্ডটি ব্যবহার করে পরীক্ষা করুন যে আপনি প্রমাণিত এবং প্রকল্পটি আপনার প্রকল্প আইডিতে সেট করা আছে:
gcloud auth list
- আপনার প্রকল্পটি ব্যবহারের জন্য
gcloudকমান্ডটি কনফিগার করা আছে কিনা তা নিশ্চিত করতে নিম্নলিখিত কমান্ডটি চালান।
gcloud config list project
- যদি আপনার প্রকল্পটি সেট না করা থাকে, তাহলে এটি সেট করতে নিম্নলিখিত কমান্ডটি ব্যবহার করুন:
gcloud config set project ${GOOGLE_CLOUD_PROJECT}
৩. GitHub থেকে Google ক্লাউডে প্রমাণীকরণ সেট আপ করুন
কিভাবে এটা কাজ করে
GitHub Actions থেকে Google Cloud-এ প্রমাণীকরণের জন্য ওয়ার্কলোড আইডেন্টিটি ফেডারেশন হল প্রস্তাবিত উপায়।
- প্রতিটি GitHub Actions ওয়ার্কফ্লো রান কাজের জন্য, GitHub একটি বহিরাগত পরিচয় প্রদানকারী হিসাবে একটি স্বাক্ষরিত JWT (JSON ওয়েব টোকেন) জারি করে। এই টোকেনে "দাবি" থাকে যেমন
repository,workflow, এবংjob_workflow_ref, যা সেই নির্দিষ্ট রানারের জন্য একটি ডিজিটাল পরিচয়পত্র হিসেবে কাজ করে। এই ল্যাবে, আপনি একটি GitHub Actions ওয়ার্কফ্লো তৈরি করবেন যাgoogle-github-actions/run-gemini-cliঅ্যাকশন ব্যবহার করে, যা GitHub থেকে একটি JWT অনুরোধ করবে এবং এই টোকেনটি Google Cloud-এর Security Token Service (STS) এ পাঠাবে। - আপনি গুগল ক্লাউডে একটি ওয়ার্কলোড আইডেন্টিটি পুল এবং একটি প্রোভাইডার কনফিগার করতে পারবেন ইস্যুকারী URL কে অফিসিয়াল GitHub টোকেন পরিষেবা URL
https://token.actions.githubusercontent.comএ সেট করে এবং আপনার "অ্যাট্রিবিউট ম্যাপিংস" সংজ্ঞায়িত করে, যার মধ্যে সাধারণত রিপোজিটরি এবং শাখার নাম অন্তর্ভুক্ত থাকে। গুগল ক্লাউড STS ওয়ার্কলোড আইডেন্টিটি পুল নিয়মের বিরুদ্ধে JWT যাচাই করে। যদি অ্যাট্রিবিউট ম্যাপিং সহ সবকিছুই পরীক্ষা করে, STS একটি স্বল্পস্থায়ী Google ক্লাউড ফেডারেটেড অ্যাক্সেস টোকেনের জন্য GitHub টোকেন বিনিময় করে। - এখন আপনার GitHub Actions ওয়ার্কফ্লোতে
google-github-actions/run-gemini-cliঅ্যাকশনটি স্বল্পস্থায়ী Google Cloud Federated Access Token ব্যবহার করে একটি সংযুক্ত পরিষেবা অ্যাকাউন্টকে Workload Identity Pool-এ "ছদ্মবেশ ধারণ" করতে পারে। যেকোনো Google Cloud রিসোর্স এবং পরিষেবা অ্যাক্সেস করার জন্য সংযুক্ত পরিষেবা অ্যাকাউন্টের প্রয়োজনীয় IAM ভূমিকা এবং অনুমতি থাকা প্রয়োজন।
জেমিনি এপিআই কী-এর উপর ওয়ার্কলোড আইডেন্টিটি ফেডারেশন ব্যবহারের সুবিধা
GitHub Actions থেকে আসা Gemini CLI কলগুলিকে Gemini API Key ব্যবহার করে প্রমাণীকরণ করা সম্ভব, যার মধ্যে GEMINI_API_KEY নামে একটি নতুন GitHub Actions গোপনীয়তা তৈরি করা জড়িত যার নাম উপযুক্ত কী মান। তবে, নিম্নলিখিত নিরাপত্তার কারণে এটি নিরুৎসাহিত করা হচ্ছে:
- জেমিনি এপিআই কীগুলির তাদের নিজ নিজ আইএএম রোল বাইন্ডিং থেকে বিস্তৃত অনুমতি থাকতে পারে। আপোস করা হলে, তারা গুগল ক্লাউড রিসোর্স এবং পরিষেবাগুলির একটি বিস্তৃত পরিসরে অ্যাক্সেস উন্মুক্ত করে। ওয়ার্কলোড আইডেন্টিটি ফেডারেশন পরিষেবা অ্যাকাউন্ট এবং স্বল্প-স্থায়ী অ্যাক্সেস টোকেন ব্যবহার করে, যা প্রমাণীকরণকে উল্লেখযোগ্যভাবে শক্ত করে।
- জেমিনি এপিআই কীগুলি স্কেলে পরিচালনা করাও চ্যালেঞ্জিং। কোন ওয়ার্কফ্লোগুলি একটি এক্সপোজড কী ব্যবহার করছে তা সনাক্ত করতে সময় লাগে। কীগুলি ম্যানুয়ালি ঘোরাতেও সময় লাগে। অন্যদিকে, আপনি ক্লাউড কনসোল থেকে আপনার রিপোজিটরির সাথে সম্পর্কিত ওয়ার্কলোড আইডেন্টিটি পুল এবং প্রোভাইডারগুলি সহজেই দেখতে, সম্পাদনা করতে এবং মুছে ফেলতে পারেন।
- জেমিনি এপিআই কী ব্যবহার করে, আপনাকে সর্বদা দুবার পরীক্ষা করতে হবে যে আপনি দুর্ঘটনাক্রমে কোনও অ্যাক্সেস বা ডিবাগ লগে সেগুলি প্রকাশ করছেন না। ওয়ার্কলোড আইডেন্টিটি ফেডারেশনের সাহায্যে, আপনি কোনও গিটহাব অ্যাকশন ওয়ার্কফ্লো গোপনীয়তা সংরক্ষণ করেন না বরং ভেরিয়েবল সংরক্ষণ করেন, যা সহজাতভাবে কম সংবেদনশীল।
GitHub অ্যাকশন এবং গুগল ক্লাউড কনফিগার করুন
- আপনার ক্লাউড শেল-এ, আপনার গিটহাব অ্যাকাউন্টে লগ ইন করুন।
gh auth login
-
setup_workload_identity.shএকটি নতুন ফাইল তৈরি করুন এবং নীচের কোডটি কপি করে তাতে পেস্ট করুন।
set -e
# Colors for output
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[1;33m'
BLUE='\033[0;34m'
NC='\033[0m' # No Color
# Helper functions
print_info() {
echo -e "${BLUE}ℹ️ $1${NC}"
}
print_success() {
echo -e "${GREEN}✅ $1${NC}"
}
print_warning() {
echo -e "${YELLOW}⚠️ $1${NC}"
}
print_error() {
echo -e "${RED}❌ $1${NC}"
}
print_header() {
echo -e "${BLUE}🚀 $1${NC}"
}
# Default values
GOOGLE_CLOUD_PROJECT=""
GOOGLE_CLOUD_LOCATION="global"
GITHUB_REPO=""
POOL_NAME=""
PROVIDER_NAME=""
# Show help
show_help() {
cat << EOF
Universal Direct Workload Identity Federation Setup for GitHub Actions
USAGE:
$0 --repo OWNER/REPO [OPTIONS]
REQUIRED:
-r, --repo OWNER/REPO GitHub repository (e.g., google/my-repo)
-p, --project GOOGLE_CLOUD_PROJECT Google Cloud project ID
OPTIONS:
--pool-name NAME Custom workload identity pool name (default: auto-generated)
--provider-name NAME Custom workload identity provider name (default: auto-generated)
-h, --help Show this help
EXAMPLES:
# Basic setup for a repository
$0 --repo google/my-repo --project my-gcp-project
# Custom pool name
$0 --repo google/my-repo --project my-gcp-project --pool-name my-pool
# Custom pool and provider names
$0 --repo google/my-repo --project my-gcp-project --pool-name my-pool --provider-name my-provider
ABOUT DIRECT WORKLOAD IDENTITY FEDERATION:
This script sets up Direct Workload Identity Federation (preferred method).
- No intermediate service accounts required
- Direct authentication from GitHub Actions to GCP resources
- Maximum token lifetime of 10 minutes
- You grant permissions directly to the Workload Identity Pool on GCP resources
EOF
}
# Parse command line arguments
while [[ $# -gt 0 ]]; do
case $1 in
-r|--repo)
GITHUB_REPO="$2"
shift 2
;;
-p|--project)
GOOGLE_CLOUD_PROJECT="$2"
shift 2
;;
--pool-name)
POOL_NAME="$2"
shift 2
;;
--provider-name)
PROVIDER_NAME="$2"
shift 2
;;
-l|--location)
GOOGLE_CLOUD_LOCATION="$2"
shift 2
;;
-h|--help)
show_help
exit 0
;;
*)
print_error "Unknown option: $1"
echo "Use --help for usage information."
exit 1
;;
esac
done
# Validate required arguments
if [[ -z "${GITHUB_REPO}" ]]; then
print_error "Repository is required. Use --repo OWNER/REPO"
echo ""
echo "💡 To find your repository name:"
echo " 1. Go to your GitHub repository"
echo " 2. The URL shows: https://github.com/OWNER/REPOSITORY"
echo " 3. Use: OWNER/REPOSITORY (e.g., google/golang)"
echo ""
echo "Use --help for usage information."
exit 1
fi
if [[ -z "${GOOGLE_CLOUD_PROJECT}" ]]; then
print_error "GCP project is required. Use --project GOOGLE_CLOUD_PROJECT"
echo ""
echo "💡 To find your project ID:"
echo " 1. Go to your Google Cloud console"
echo " 2. The URL displays: https://console.cloud.google.com/welcome?project=GOOGLE_CLOUD_PROJECT"
echo ""
echo "Use --help for usage information."
exit 1
fi
# Validate repository format
if [[ ! "${GITHUB_REPO}" =~ ^[a-zA-Z0-9._-]+/[a-zA-Z0-9._-]+$ ]]; then
print_error "Invalid repository format '${GITHUB_REPO}'"
echo "Expected format: owner/repo (e.g., google/my-repo)"
exit 1
fi
# Extract repository components
REPO_OWNER=$(echo "${GITHUB_REPO}" | cut -d'/' -f1)
# Generate unique names based on repository
REPO_HASH_INPUT=$(echo -n "${GITHUB_REPO}")
REPO_HASH_SHA=$(echo "${REPO_HASH_INPUT}" | shasum -a 256)
REPO_HASH=$(echo "${REPO_HASH_SHA}" | cut -c1-8)
# Use custom pool name if provided, otherwise generate one
if [[ -z "${POOL_NAME}" ]]; then
POOL_NAME="github-${REPO_HASH}"
fi
# Use custom provider name if provided, otherwise generate one
if [[ -z "${PROVIDER_NAME}" ]]; then
PROVIDER_NAME="gh-${REPO_HASH}"
fi
print_header "Starting Direct Workload Identity Federation setup"
echo "📦 Repository: ${GITHUB_REPO}"
echo "☁️ Project: ${GOOGLE_CLOUD_PROJECT}"
echo "🏊 Pool: ${POOL_NAME}"
echo "🆔 Provider: ${PROVIDER_NAME}"
echo ""
# Verify gcloud authentication
print_info "Verifying gcloud authentication..."
GCLOUD_AUTH_LIST_RAW=$(gcloud auth list --filter=status:ACTIVE --format="value(account)")
GCLOUD_AUTH_LIST=$(echo "${GCLOUD_AUTH_LIST_RAW}" | head -1)
if [[ -z "${GCLOUD_AUTH_LIST}" ]]; then
print_error "No active gcloud authentication found"
echo "Please run: gcloud auth login"
exit 1
fi
# Test project access
if ! gcloud projects describe "${GOOGLE_CLOUD_PROJECT}" > /dev/null 2>&1; then
print_error "Cannot access project '${GOOGLE_CLOUD_PROJECT}'"
echo "Please verify:"
echo " 1. Project ID is correct"
echo " 2. You have permissions on this project"
echo " 3. Project exists and is not deleted"
exit 1
fi
print_success "Authentication and project access verified"
# Step 1: Enable required APIs
print_header "Step 1: Enabling required Google Cloud APIs"
required_apis=(
"aiplatform.googleapis.com"
"cloudaicompanion.googleapis.com"
"cloudresourcemanager.googleapis.com"
"cloudtrace.googleapis.com"
"iam.googleapis.com"
"iamcredentials.googleapis.com"
"logging.googleapis.com"
"monitoring.googleapis.com"
"sts.googleapis.com"
)
gcloud services enable "${required_apis[@]}" --project="${GOOGLE_CLOUD_PROJECT}"
print_success "APIs enabled successfully."
# Step 2: Create Workload Identity Pool
print_header "Step 2: Creating Workload Identity Pool"
if ! gcloud iam workload-identity-pools describe "${POOL_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" &> /dev/null; then
print_info "Creating Workload Identity Pool: ${POOL_NAME}"
gcloud iam workload-identity-pools create "${POOL_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--display-name="GitHub Actions Pool"
print_success "Workload Identity Pool created"
else
print_info "Workload Identity Pool '${POOL_NAME}' exists. Verifying state..."
# Fetch the current state of the existing pool.
POOL_STATE=$(gcloud iam workload-identity-pools describe "${POOL_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--format="value(state)")
if [[ "${POOL_STATE}" == "ACTIVE" ]]; then
# Pool exists and is in the correct state.
print_success "Workload Identity Pool already exists and is ACTIVE."
else
if [[ "${POOL_STATE}" == "DELETED" ]]; then
# Pool exists but is DELETED. Undelete the pool.
print_warning "Workload Identity Pool already exists but is in a DELETED state. Running 'undelete'."
gcloud iam workload-identity-pools undelete "${POOL_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}"
else
# Pool exists but is in an unexpected state.
print_error "Pool '${POOL_NAME}' is in an unexpected state: '${POOL_STATE}'. Expected states are: {'ACTIVE', 'DELETED'}. Exiting"
exit 1
fi
fi
fi
# Get the pool ID
WIF_POOL_ID=$(gcloud iam workload-identity-pools describe "${POOL_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--format="value(name)")
# Step 3: Create Workload Identity Provider
print_header "Step 3: Creating Workload Identity Provider"
ATTRIBUTE_CONDITION="assertion.repository_owner == '${REPO_OWNER}'"
if ! gcloud iam workload-identity-pools providers describe "${PROVIDER_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--workload-identity-pool="${POOL_NAME}" &> /dev/null; then
print_info "Creating Workload Identity Provider: ${PROVIDER_NAME}"
gcloud iam workload-identity-pools providers create-oidc "${PROVIDER_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--workload-identity-pool="${POOL_NAME}" \
--display-name="${PROVIDER_NAME}" \
--attribute-mapping="google.subject=assertion.sub,attribute.actor=assertion.actor,attribute.repository=assertion.repository,attribute.repository_owner=assertion.repository_owner" \
--attribute-condition="${ATTRIBUTE_CONDITION}" \
--issuer-uri="https://token.actions.githubusercontent.com"
print_success "Workload Identity Provider created"
else
print_info "Workload Identity Provider '${PROVIDER_NAME}' exists. Verifying state..."
# Fetch the current state of the existing provider.
PROVIDER_STATE=$(gcloud iam workload-identity-pools providers describe "${PROVIDER_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--workload-identity-pool="${POOL_NAME}" \
--format="value(state)")
if [[ "${PROVIDER_STATE}" == "ACTIVE" ]]; then
# Provider exists and is in the correct state.
print_success "Workload Identity Provider already exists and is ACTIVE."
else
if [[ "${PROVIDER_STATE}" == "DELETED" ]]; then
# Provider exists but is DELETED. Undelete the provider.
print_warning "Workload Identity Provider already exists but is in a DELETED state. Running 'undelete'."
gcloud iam workload-identity-pools providers undelete "${PROVIDER_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--workload-identity-pool="${POOL_NAME}"
else
# Provider exists but is in an unexpected state.
print_error "Provider '${PROVIDER_NAME}' is in an unexpected state: '${PROVIDER_STATE}'. Expected states are: {'ACTIVE', 'DELETED'}. Exiting"
exit 1
fi
fi
fi
# Step 4: Grant required permissions to the Workload Identity Pool
print_header "Step 4: Granting required permissions to Workload Identity Pool"
PRINCIPAL_SET="principalSet://iam.googleapis.com/${WIF_POOL_ID}/attribute.repository/${GITHUB_REPO}"
print_info "Skipped: Granting required permissions directly to the Workload Identity Pool..."
# Step 5: Create and Configure Service Account for Gemini CLI
print_header "Step 5: Create and Configure Service Account for Gemini CLI"
SERVICE_ACCOUNT_NAME="gemini-cli-${REPO_HASH}"
SERVICE_ACCOUNT_EMAIL="${SERVICE_ACCOUNT_NAME}@${GOOGLE_CLOUD_PROJECT}.iam.gserviceaccount.com"
# Create service account if it doesn't exist
if ! gcloud iam service-accounts describe "${SERVICE_ACCOUNT_EMAIL}" --project="${GOOGLE_CLOUD_PROJECT}" &> /dev/null; then
print_info "Creating Service Account: ${SERVICE_ACCOUNT_NAME}"
gcloud iam service-accounts create "${SERVICE_ACCOUNT_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--display-name="Gemini CLI Service Account"
print_success "Service Account created: ${SERVICE_ACCOUNT_EMAIL}"
else
print_success "Service Account already exists: ${SERVICE_ACCOUNT_EMAIL}"
fi
# Grant permissions to the service account on the project
print_info "Granting 'Cloud AI Companion User' role to Service Account..."
gcloud projects add-iam-policy-binding "${GOOGLE_CLOUD_PROJECT}" \
--role="roles/cloudaicompanion.user" \
--member="serviceAccount:${SERVICE_ACCOUNT_EMAIL}" \
--condition=None
# Allow the service account to generate an access tokens
print_info "Granting 'Service Account Token Creator' role to Service Account..."
gcloud projects add-iam-policy-binding "${GOOGLE_CLOUD_PROJECT}" \
--role="roles/iam.serviceAccountTokenCreator" \
--member="serviceAccount:${SERVICE_ACCOUNT_EMAIL}" \
--condition=None
# Grant logging permissions to the service account
print_info "Granting 'Logging Writer' role to Service Account..."
gcloud projects add-iam-policy-binding "${GOOGLE_CLOUD_PROJECT}" \
--role="roles/logging.logWriter" \
--member="serviceAccount:${SERVICE_ACCOUNT_EMAIL}" \
--condition=None
# Grant monitoring permissions to the service account
print_info "Granting 'Monitoring Editor' role to Service Account..."
gcloud projects add-iam-policy-binding "${GOOGLE_CLOUD_PROJECT}" \
--role="roles/monitoring.editor" \
--member="serviceAccount:${SERVICE_ACCOUNT_EMAIL}" \
--condition=None
# Grant tracing permissions to the service account
print_info "Granting 'Cloud Trace Agent' role to Service Account..."
gcloud projects add-iam-policy-binding "${GOOGLE_CLOUD_PROJECT}" \
--role="roles/cloudtrace.agent" \
--member="serviceAccount:${SERVICE_ACCOUNT_EMAIL}" \
--condition=None
# Grant Vertex AI permissions to the service account
print_info "Granting 'Vertex AI User' role to Service Account..."
gcloud projects add-iam-policy-binding "${GOOGLE_CLOUD_PROJECT}" \
--role="roles/aiplatform.user" \
--member="serviceAccount:${SERVICE_ACCOUNT_EMAIL}" \
--condition=None
# Allow the Workload Identity Pool to impersonate the Service Account
print_info "Allowing GitHub Actions from '${GITHUB_REPO}' to impersonate the Service Account..."
gcloud iam service-accounts add-iam-policy-binding "${SERVICE_ACCOUNT_EMAIL}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--role="roles/iam.workloadIdentityUser" \
--member="${PRINCIPAL_SET}"
print_success "GitHub Actions can now impersonate ${SERVICE_ACCOUNT_NAME}"
# Get the full provider name for output
WIF_PROVIDER_FULL=$(gcloud iam workload-identity-pools providers describe "${PROVIDER_NAME}" \
--project="${GOOGLE_CLOUD_PROJECT}" \
--location="${GOOGLE_CLOUD_LOCATION}" \
--workload-identity-pool="${POOL_NAME}" \
--format="value(name)")
# Step 6: Output configuration
print_header "🎉 Setup Complete!"
echo ""
print_success "Direct Workload Identity Federation has been configured for your repository!"
echo ""
print_header "Permissions Granted"
echo ""
print_success "The following permissions have been automatically granted to your repository:"
echo "• roles/logging.logWriter - Write logs to Cloud Logging"
echo "• roles/monitoring.editor - Create and update metrics in Cloud Monitoring"
echo "• roles/cloudtrace.agent - Send traces to Cloud Trace"
echo "• roles/aiplatform.user - Use Vertex AI for model inference"
echo ""
print_success "A Service Account (${SERVICE_ACCOUNT_EMAIL}) was created with the following roles:"
echo "• roles/cloudaicompanion.user - Use Code Assist for model inference"
echo "• roles/iam.serviceAccountTokenCreator"
echo ""
# Check for `gh` CLI and set variables automatically if available
if command -v gh &> /dev/null; then
print_info "The 'gh' CLI is installed. Setting variables automatically..."
gh variable set GCP_WIF_PROVIDER --body "${WIF_PROVIDER_FULL}" --repo "${GITHUB_REPO}"
gh variable set GOOGLE_CLOUD_PROJECT --body "${GOOGLE_CLOUD_PROJECT}" --repo "${GITHUB_REPO}"
gh variable set GOOGLE_CLOUD_LOCATION --body "${GOOGLE_CLOUD_LOCATION}" --repo "${GITHUB_REPO}"
gh variable set SERVICE_ACCOUNT_EMAIL --body "${SERVICE_ACCOUNT_EMAIL}" --repo "${GITHUB_REPO}"
gh variable set GOOGLE_GENAI_USE_VERTEXAI --body "true" --repo "${GITHUB_REPO}"
print_success "GitHub variables have been set automatically!"
else
print_warning "The 'gh' CLI was not found. Either install it and rerun this script OR set the below variables manually."
echo " For manual setup, go to https://github.com/${GITHUB_REPO}/settings/variables/actions and add the following repository variables:"
echo ""
echo "🔑 Variable Name: GCP_WIF_PROVIDER"
echo " Variable Value: ${WIF_PROVIDER_FULL}"
echo ""
echo "☁️ Variable Name: GOOGLE_CLOUD_PROJECT"
echo " Variable Value: ${GOOGLE_CLOUD_PROJECT}"
echo ""
echo "☁️ Variable Name: GOOGLE_CLOUD_LOCATION"
echo " Variable Value: ${GOOGLE_CLOUD_LOCATION}"
echo ""
echo "☁️ Variable Name: SERVICE_ACCOUNT_EMAIL"
echo " Variable Value: ${SERVICE_ACCOUNT_EMAIL}"
echo ""
fi
print_success "Setup completed successfully! 🚀"
- স্ক্রিপ্টটিকে একটি এক্সিকিউটেবলে পরিণত করুন।
chmod +x setup_workload_identity.sh
- স্ক্রিপ্টটি চালান।
./setup_workload_identity.sh --repo {OWNER/REPO} --project {GOOGLE_CLOUD_PROJECT}
৪. একটি GitHub অ্যাকশন ওয়ার্কফ্লো তৈরি করুন
- আপনার মালিকানাধীন একটি GitHub সংগ্রহস্থল দেখুন।
git clone {YOUR_REPO}
cd {YOUR REPO}
-
/gemini-cli-extensions/securityrepo থেকে একটি উদাহরণ ওয়ার্কফ্লোymlস্ক্রিপ্ট অনুলিপি করে একটি GitHub Actions ওয়ার্কফ্লো তৈরি করুন যা/security:analyze-github-prস্ল্যাশ কমান্ড ব্যবহার করে।
git checkout -b workflow
mkdir .github/ && cd .github/
mkdir workflows/ && cd workflows/
curl -L https://raw.githubusercontent.com/gemini-cli-extensions/security/refs/heads/main/.github/workflows/gemini-review.yml -o gemini-review.yml
- GitHub-এ আপনার রিমোট অরিজিনে GitHub অ্যাকশন ওয়ার্কফ্লো পুশ করুন।
git add .github/workflows/gemini-review.yml
git commit -m "add new gha workflow"
git push --set-upstream origin workflow
৫. নতুন এবং বিদ্যমান পিআরগুলিতে নিরাপত্তা বিশ্লেষণ কর্মপ্রবাহ চালান
আপনার GitHub রিপোজিটরিতে একটি নতুন PR শুরু করুন অথবা একজন রেপো মালিক বা অবদানকারী হিসেবে "@gemini-cli /review" নামে একটি নতুন মন্তব্য পোস্ট করুন। এটি PR-এর উপর একটি নিরাপত্তা পর্যালোচনা শুরু করবে। GitHub Actions ওয়ার্কফ্লো থেকে আপনার রেপোতে প্রতিশ্রুতিবদ্ধ Gemini CLI নিরাপত্তা এক্সটেনশন "Critical", "High", "Medium" থেকে "Low" পর্যন্ত তীব্রতার বিভাগ অনুসারে যেকোনো নিরাপত্তা সমস্যা খুঁজে পাবে।
এখানে একটি নতুন জনসংযোগের নিরাপত্তা পর্যালোচনার একটি উদাহরণ এবং একটি বিদ্যমান জনসংযোগের নিরাপত্তা পর্যালোচনার একটি উদাহরণ দেওয়া হল।
৬. আরও অনুসন্ধান
আমরা আপনাকে জেমিনি সিএলআই সিকিউরিটি এক্সটেনশনে নতুন নিরাপত্তা ক্ষমতা সমন্বিত কাস্টম কমান্ডের একটি ক্রমবর্ধমান তালিকা অন্বেষণ করতে এবং আপনার কর্মপ্রবাহে এটি ব্যবহার শুরু করতে উৎসাহিত করছি। উদাহরণস্বরূপ:
-
/security:scan-depsOSV.dev এর সাথে আপনার প্রকল্পের নির্ভরতা ক্রস-রেফারেন্স করে।
সর্বশেষ বৈশিষ্ট্য এবং বাগ সংশোধনের জন্য রিলিজ নোটগুলিও দেখুন।
৭. অভিনন্দন
অভিনন্দন, আপনি আপনার GitHub রিপোজিটরিটি সফলভাবে কনফিগার করেছেন যাতে নিরাপত্তা ঝুঁকি এবং দুর্বলতার জন্য PR বিশ্লেষণ করার জন্য Gemini CLI সিকিউরিটি এক্সটেনশন ব্যবহার করা যায়।