All posts

GitHubの依存関係インサイトを利用したオープンソースのセキュリティ対策

今日のソフトウェア開発はオープンソースなくして進めることは不可能に近い一方で、多くの企業がオープンソースやオープンソースの依存関係に関するセキュリティ対策を難しいと感じています。オープンソースのCVEの管理、オープンソースソフトウェア(OSS)ライセンスの遵守、または使用中の依存関係バージョンの追跡を行うだけで、多くの時間を浪費するだけでなく、セキュリティチームが脆弱なOSSコードのリスクを手動で管理しなければならないこともあります。

GitHubの依存関係インサイトなら、オープンソースの依存関係の概要をひと目で把握でき、こうした課題を解決することができます。

Image of Cory Dobson

GitHub Enterprise Server 3.0を正式リリース

GitHub Enterprise Server 3.0が正式にリリースされました。GitHub Universeのキーノートセッションでリリース候補として紹介されたGitHub Enterprise Serverは、かつてないほど大きな変更が加えられ、GitHub Actions、GitHub Packagesやソースコードの強力なシークレットスキャンツールを、GitHub Enterprise Serverで使用できるようになりました。

Image of Maya Ross

GitHub OrganizationとEnterpriseアカウントの保護

GitHub Enterpriseのセキュリティ機能を活用することで開発環境におけるセキュリティレベルを上げることが可能ですが、システムだけでセキュリティを担保することはできません。
各企業において、公共の場所ではパソコンのスクリーンにカバーをして画面の閲覧ができないようにする、ソースコードを許可なく持ち出したり、外部サイトに投稿しないようにするなど、ソフトウェア開発部門のセキュリティトレーニングの実施を行い、意図しない情報漏えいを防ぐことも必要です。

Image of Niels Pineda

GitHub Pagesのアクセス管理

GitHub Pages では、アクセスを制限して、そのページを公開したリポジトリへのアクセス権を持つユーザーだけがサイトを閲覧できるようにするオプションが追加されました。アクセス制御により、GitHub Pages を使って社内のドキュメントやナレッジを特定のユーザーだけに公開したり、企業内だけで共有したりすることができます。

Image of Lea Nagashima

GitHub Enterprise Server 3.0 RC版リリース

GitHub Enterprise Server 3.0 RC版(リリース候補)として公開したので紹介します。

GitHub Actions – 開発者優先のワークフロー自動化とCI/CD
GitHub Packages – コードと一緒にパッケージを発行して使用
GitHub for mobile (ベータ版) – モバイルデバイスからでも共同作業ができるiOS/Androidアプリ

また、コードセキュリティの自動化を実現するGitHub Advanced Securityにも対応します。

コードスキャン – すべてのPull RequestをCodeQLでスキャンし、既知の脆弱性を検出
シークレットスキャン(ベータ版) – プロダクション環境に公開すべきでないにコード内のクレデンシャルを検出

本バージョンアップでは、Enterprise Server を完全に再設計し、最新のコンテナ化されたプラットフォームを構築することで、より柔軟な管理とスケーラビリティの向上を実現しました。

Image of Maya Ross

Git clone: データで見るクローンの仕組み

Git cloneにはいくつかの選択肢がありますが、実際に Git のパフォーマンスにどのような影響を与えるのでしょうか?あなたのクライアントではどの選択肢が一番速いのでしょうか?あなたのビルドマシンではどの選択肢が一番速いのでしょうか?これらの選択肢はサーバーのパフォーマンスにどのような影響を与えるのでしょうか?異なるクローンオプションとフェッチオプションの間で、いくつかのパフォーマンスの変化があることを説明します。

Image of Solmaz Abbaspoursani

パーシャルクローンとシャロークローンを活用しよう

Git のリポジトリが大きくなると、新しい開発者がクローンして作業を始めるのが難しくなります。Git は 分散 バージョン管理システムとして設計されています。つまり、リポジトリとのやりとりを管理する中央サーバーに接続しなくても、自分のマシンで作業ができるということです。これが完全に実現できるのは、すべての到達可能なデータがローカルリポジトリにある場合だけです。

Image of derrickstolee
View more posts