GitHub Advanced Securityでは、コミュニティが主導する開発者ファーストのアプローチで、安全なアプリケーション開発を可能にします。今回、2つのアップデートについて発表します。
- セキュリティ概要のベータ版開始 – GitHubにホスティングしているアプリケーションがセキュリティリスクにさらされている場合、その概要を確認できます。
- プライベートリポジトリ向けSecret Scanningの提供を開始 – 範囲を拡大し、パートナーが35社以上になりました。
セキュリティ概要の導入
GitHubが提供するセキュリティ機能には、アプリケーションのセキュリティリスクを検出・修正するための強力なツールがあります。皆さんがアプリケーションセキュリティチームの一員や開発リーダーとして、何百個または何千個というリポジトリに対して責任を負う立場であれば、新たに導入されるセキュリティ概要が役立ちます。
GitHub Advanced Securityをお使いの方は、Code Scanning、Dependabot、Secret Scanningによって検出されたアプリケーションのセキュリティリスクを、セキュリティ概要の画面1か所で確認できるようになりました。セキュリティ概要には、こうした既知のセキュリティリスクだけでなく、セキュリティ機能が設定されていないために未知のリスクが発生している場所についても情報が表示されます。
管理者は、有効化されているGitHubセキュリティ機能と、検知した情報をOrganizationのSecurityタブで確認できるようになりました。どこから対処すべきかをわかりやすくするために、アクティブなアラートの数と重大さに基づき、各リポジトリに対してリスクカテゴリーが割り当てられます。
包括的なフィルターセットを使用して、関心のあるリポジトリだけに焦点を合わせることができます。Dependabotアラートがあるハイリスクなパブリックリポジトリなど、特定のリポジトリにのみ関心がある場合は、そういったリポジトリだけを表示するようにビューを指定できます。
さらに、個々のリポジトリ、割り当てられているリスクカテゴリー、リポジトリに対して有効化されているセキュリティ機能、アクティブなアラート数を確認することもできます。ここでは、リポジトリの中を詳しく見てから機能を有効にしたり、アラートの詳細を確認してから実行したりできます。
開発者とマネージャーが担当のリポジトリに関して、こうした同じ情報を把握していることが重要です。そのため、OrganizationがGitHub Teamを利用してリポジトリへのアクセスを管理している場合、GitHub Teamの[Security(セキュリティ)]タブにもチームメンバーに関する情報を表示します。
プライベートリポジトリ向けSecret Scanningの提供開始
2020年5月に発表したベータ版以降、GitHubではプライベートリポジトリ向けSecret Scanningを拡充してきました。ベータ版の発表以降、次のことを行いました。
- 35社を超えるパートナーからのトークンをカバーするように、Scret Scanningのパターン範囲を拡大。
- シークレットのコミット時にコミット作者(および管理者)への通知の送信を開始。
上記の内容はGitHub Enterprise Cloudで利用が可能ですが、今後、GitHub Enterprise Server 3.1にもすべて実装される予定です。GitHubでは、プライベートリポジトリ向けのSecret Scanningに対して、カスタムパターンのサポートなどさらに多くの改善を計画しています。Secret scanningは、パブリックリポジトリにおいてこれまでに公開状態になってしまった5,000以上のシークレットを検出し、取り消した実績があります。プライベートリポジトリ向けにもSecret Scanningを提供開始できることを嬉しく思います。
GitHub Advanced Securityの詳細について
- 新しいセキュリティ概要とSecret Scanningの詳細については、GitHub Docsをご確認ください。
新しいセキュリティ概要およびプライベートリポジトリ向けSecret Scanningはどちらも、GitHub Advanced Securityの一部として提供されます。GitHubが安全なアプリケーションのリリースに役立つ仕組みから、より詳しく確認いただけます。また、お使いのアカウントでのGitHub Advanced Securityを有効にできるかについては、営業担当にお問い合わせください。
