Announcing general availability of GitHub Advanced Security for Azure DevOps

GitHub Advanced Security for Azure DevOps、一般提供(GA)を開始

Image of Ishikawa Setsuna
Author


Walker Chabbott

GitHub Advanced Security for Azure DevOpsの一般提供(GA)を開始しました。シークレットスキャン、依存関係スキャン、コード スキャンを、Azure DevOpsの構成設定で直接有効にすることができます。


私たちの世界は、ソフトウェアが無ければ成立しません。IDCによると、2025年までに全世界で約7億5,000万本のアプリケーションが出荷されるそうです。これは、デジタルに対する信頼がかつてないほど重要になっているこの時代に、世界中のソフトウェアを保護するという離れ業がかつてないスピードで進んでいることを意味します。GitHubは、開発者がソフトウェアを作り出すだけでなく、安全な製品として出荷できるよう尽力しています。GitHub Advanced Security (GHAS)は、コンテキスト切り替えを最小限に抑え、ツールを減らし、イノベーションと同じスピードで脆弱性を迅速に発見、修正できるようにするために提供しているものです。GitHubのアプリケーションセキュリティテストソリューションは、開発者のワークフローにネイティブに組み込まれており、DevSecOpsチームがセキュリティを犠牲にすることなく、イノベーションを優先して開発者の生産性を高めることを支援します。

ですが、実際のところはどうでしょう?GitHubのネイティブSASTソリューションであるコード スキャンは、適切なアラートを適切なタイミングで表示します。セキュリティアラートがトリガーされると、Pull Requestに追加して表示されます。これは、スキャンが完了したときに具体的なコンテキストのない、長いアラートリストが生成される従来のSASTツールとは異なります。このアプローチでは、ユーザーはコード スキャンによって表示されたアラートの約80%に対処し、50%というリアルタイムでの修正率を実現しています。これは、エンゲージメント率が約16%、修正率が約13%のサードパーティのアラートと比べて3.8倍効果的です。

このたび一般提供(GA)を開始したGitHub Advanced Security for Azure DevOpsは、GHASのネイティブなセキュリティ機能をAzure DevOpsのワークフローに組み込むというものです。これにより、Azure DevOpsユーザーにもGitHub Enterpriseユーザーと同じメリットがもたらされます。今すぐ利用するには、Azure DevOpsのプロジェクトコレクション管理者(PCA)が、Azure DevOpsの構成設定からGitHub Advanced Securityによる保護を有効にするだけです。

セキュリティプログラムの迅速な導入と拡張

GitHub Advanced Securityの一般提供(GA)に伴い、GitHub Advanced Securityを迅速に有効化して、Oraganizationのリポジトリを保護するための新機能が追加されました。また、GHASをOranizationまたはプロジェクトレベルで有効にするのか、個々のリポジトリで有効にするのかを選択できるようになりました。これにより、GHASを必要なときに必要な場所へ速やかに導入できるようになります。

GitHub Advanced Security for Azure DevOpsを有効にすると、有料であることを警告するメッセージが表示され、コミッター数の見積もりが表示されます。

Screenshot of Advanced Security enablement.

また、今後作成されるリポジトリに対して自動的にGitHub Advanced Securityを有効にすることも選択できるようになりました。

Screenshot of Organization-level enablement.

すべてのアラートを単一の画面で確認

成功するアプリケーションセキュリティプログラムにとって重要なのが、Organization全体にわたるすべてのアラートを単一の画面で確認できることです。これにより、アプリケーションセキュリティの状況を最大限に把握できます。GitHubはこの極めて重要な機能を採用し、Microsoft Defender for Cloud (MDC)との連携の下、構築しました。MDC内でAzureリポジトリ全体のGitHub Advanced Securityアラートをすべて表示できるだけでなく、GitHubからもアラートを確認できるようになりました。この機能はMDCを無料で利用できるため、どのチームでもこの強力な統合を活用できます。

GitHub Advanced Security for Azure DevOpsを使ってみる

GitHub Advanced Security for Azure DevOpsのご利用に関心のある方は、GitHubのドキュメントをご覧ください。

詳しい情報をご希望の方に: 2023年10月4日午前11時(太平洋標準時)よりウェビナーが開催されました。このウェビナーでは、アプリケーションセキュリティの重要性やGitHub独自のアプローチについて詳しくご紹介し、実際のGitHub Advanced Security for Azure DevOpsのデモをご紹介しました。