GitHub のCode Scanning を使うことで、ソフトウェアの本番環境リリース前にセキュリティの脆弱性を簡単に見つけられるようになります。GitHubは今回、Code Scanning を正式にリリース (GA: General Availability) しました。 本日から、パブリックリポジトリで利用できるようになります。 

トークンや認証情報をGitHubリポジトリに意図せず公開してしまったり、第三者が意図せずに公開してしまった情報を偶然見つけてしまったという経験はありませんか？GitHubでは約1年前に、トークンスキャニングを導入し、プッシュされたコミットをスキャンし、意図せず公開された認証情報の悪用を防止できるようにしました。セキュリティ上の脅威からお客様を守るという当社使命のもと、GitHubはAtlassian、Dropbox、Discord、Proctorio、Pulumiの5社と、各社のトークンフォーマットのスキャンについて新たに提携しました。JiraやDiscordなどの製品のトークンを誤ってチェックインしてしまった場合、チェックインから数秒以内に、トークンが一致している可能性がある旨の通知がプロバイダーに送信されるようになりました。これにより、プロバイダーは悪用される前にトークンを無効化できます。 

私たちはお互いに深くつながり合ったコミュニティの一員であり、私たちが開発するソフトウェアは他のメンバーの作業に基づいて開発されています。新規のソフトウェアプロジェクトの99%にオープンソースコードが使用されており、膨大な量のコードの再利用によって、かつて無いほどスピーディーにソフトウェアを開発できるようになっています。一方で、このよう

な依存関係があるため、脆弱なソフトウェアが配布されてしまうと、私たち全員がリスクにさらされます。すべての開発者が、セキュリティに配慮する開発者になるという重要性が、これまで以上に高まっています。すなわち、誰もが脆弱性情報を開示し、パッチ処理を迅速に行う責任を負っています。

GitHubは、開発者が容易にソースコードの安全性を向上できるを新たなセキュリティ機能を発表しました。