Community

All "Community" posts

シークレットの漏洩が疑われる場合は、無料のGitHubアラートをご確認ください

GitHub上のパブリックリポジトリで漏洩したシークレットを無料で追跡できるようになりました。Secret scanningアラートを使えば、GitHub内で流出したシークレットを追跡し、対処することができます。 データ漏洩の原因として特に多いのがシークレットや認証情報を公開してしまうことですが、追跡が十分に行われることはあまり多くありません 1。こうしたデータ漏洩は特定までに平均327日かかり、認証情報の漏洩が深刻な結果につながる可能性があることが明らかとなっています。しかし依然として、企業は大規模な漏洩の検出や迅速な対応、公開されてしまったシークレットの修正に苦労しています。 GitHubでは、Secret scanningパートナープログラム. を通じて多くのサービスプロバイダーと提携し、すべてのパブリックリポジトリを対象に、漏洩した認証情報にフラグ付けを行っています。200個を超えるトークンフォーマットに基づいてリポジトリをスキャンし、関連のあるパートナーと協力して、共通のお客様を保護しています。2022年には、パブリックリポジトリで公開されている170万個以上の潜在的なシークレットをパートナーに通知し、トークンの悪用を阻止しました。 GitHubは、GitHubコミュニティのすべての無料パブリックリポジトリに対して、無料で利用できるSecret scanningの提供を開始しました。 Secret scanningアラートは、コードにシークレットの漏洩がある場合にユーザーに直接通知します。きわめて迅速な保護を実現するためにパートナーにも通知しますが、リポジトリに関する包括的な保護手段をユーザーの皆さん自身が所有できるようになりました。また、セルフホスト型のHashiCorp Vaultのキーが公開されている場合など、パートナーには通知できないシークレットについてのアラートも通知します。すべてのアラートをいつでも簡単に追跡して、漏洩元を詳しく調査したり、アラートに対して実行されるアクションを監査できます。 パブリックリポジトリでSecret scanningアラートを活用することで、シークレットの公開を阻止し、安心してオープンソースを利用することができます Secret scanningのおかげで、対処すべき重要な事象を多く見つけることができました。AppSec側としては、コードに含まれる問題を可視化するための最良の方法であることが多いです– Postmates、スタッフセキュリティエンジニア、David Ross氏 利用を開始するには パブリックリポジトリを対象に、パブリックベータ版Secret scanningの段階的な展開を開始しており、2023年1月末までに、すべてのユーザーがこの機能を利用できるようになる予定です。早期の利用を開始したい場合や、ご質問またはフィードバックがある場合は、コードセキュリティディスカッションでリクエストを送信してください。 リポジトリでSecret scanningアラートを利用できるようになったら、[Code security and analysis]設定の下にあるリポジトリの設定でアラートを有効化できます。検出されたシークレットを確認するには、リポジトリの[Security ]タブに移動し、サイドパネルの[Vulnerability alerts ]の下にある[Secret scanning ]を選択します。ここでは、検出されたシークレットが一覧で表示されており、いずれかのアラートをクリックすると、漏洩シークレット、その場所、修正のための推奨アクションが示されます。 リポジトリのSecret scanningアラートを有効にする方法について、詳しくは、GitHubのドキュメントを参照してください。 GitHub Secret

Image of Mariam Sulakian
   
Image of Zain Malik

GitHub Universe 2022における新発表のすべて

開発者と企業がイノベーションを容易に推進することができる、最も統合された開発者向けプラットフォームを強化するために、私たちがどのような取組みをしているのかご覧ください。 15年前、GitHubを構築するために最初のコード行がコミットされました。それ以来、私たちの目的は、開発者がベストを尽くすために必要なすべてのものをプラットフォームに装備することです。このミッションは、GitHubプラットフォームのすべてのイテレーションを通じて変わっておりません。しかし、私たちの仕事や生活のあらゆる場面でソフトウェアが進歩を続ける中、世界中の人々のためにソフトウェアを実行、維持、構築することは、開発者にとって計り知れない複雑さを生み出します。 私たちは今、転換期を迎えています。新たな開発者体験を提供する時が来ています。 GitHubは、開発者が創造性を発揮し、より幸せになるとともに、人生で最高の仕事をするためのツールを提供するべく、一つの統合されたプラットフォームを構築してきました。新たな開発者体験を可能にさせるための、このプラットフォーム全体についてGitHub Universe 2022で発表した全容を見てみましょう。 何が可能なのか、再定義する 時折、すべてを変えてしまうような新しいテクノロジーが登場します。プログラミング言語の使用やオープンソースが業界に革命を起こしたように、AIはソフトウェア開発の未来を大きく変えようとしています。そして、GitHubはその中心にいるのです。GitHub Copilotは、OpenAI Codexを使用し、エディターにリアルタイムでコードや関数全体を提案するAIペアプログラマーです。 今後近いうちに、AIは開発者体験のあらゆる側面に統合されていくため、GitHub Copilotをより身近な存在にさせていきます。近日中に、企業は従業員向けのGitHub Copilotのシートライセンスを購入・管理できるようになります。   無駄作業より仕事:企業向けGitHub Copilotは、AIベースのコーディング提案により、開発者の生産性を55%向上させることが可能 近日中に、企業は従業員向けのGitHub Copilotのシートライセンスを購入・管理できるようになります。これにより、企業は実証済みの主要なAI補助技術によって便益を享受するだけでなく、加えて、GitHub Copilotが提案する内容で公開されたコードに一致した場合、それらを許可または拒否することを、管理者側で企業のために設定することができます。個人向けにGitHub Copilotの提供を開始して以来、同サービスが開発者の幸福度に与える影響を測定してきました。GitHub Copilotは自然言語とコードを理解している方法によって、単なる生産性向上以上の効果をもたらします。ボイラープレートよりもビジネスロジックに集中でき、他の方法では考えつかなかったようなアイデアを発見できます。さらに、それらの操作をエディターから容易に実現できます。 AIが皆さまのビジネスにもたらす可能性を探るために、皆さまのビジネスをウェイティングリストに追加してください。   GitHub Nextによる実験:「Hey, GitHub!」でGitHub Copilotを音声操作、キーボードの必要性を削減しながら、AIペアプログラマーの利点を活かす GitHub Copilotがユーザーのペアプログラマーであるならば、なぜ話しかけることができないのでしょうか?その点こそが、GitHub Nextチームが目指しているものです。「Hey, GitHub!」は、GitHub Copilotやその他との音声による対話を可能にします。音声の力で、手入力が困難な開発者を含め、さらに多くの開発者にGitHub Copilotのメリットを提供できる可能性がある点に、私たちは興奮しています。「Hey, GitHub!」は、現時点ではVS Codeでコーディングする際だけキーボードの必要性を減らしますが、今後の研究とテストを通じて、機能拡張をしていきたいと考えています。

Image of Thomas Dohmke

スポンサー限定公開のリポジトリ、金額のカスタム設定などGitHub Sponsorsに新機能が登場

本日より、スポンサー限定のリポジトリ提供を開始します。この新しい機能により、開発者はスポンサーと関わる上で、さらに多くのオプションを利用できるようになります。本ブログでは、最近追加された拡張機能やGitHub Sponsorsの今後についてもご紹介します。

Image of Jessica Lord

2要素認証によるGitHubアカウントの保護

2021年8月13日からGit操作の認証時にアカウントパスワードの受け入れを停止すること、およびGitHub.comで認証済みのGit操作を行う場合は必ず、パーソナルアクセストークン、SSHキー(開発者向け)、またはOAuthやGitHub Appインストールトークン(インテグレーター向け)といった強力な認証要素の使用が必要になりました。

Image of Mike Hanley

オープンソースが実現する火星探索:OSSコミュニティが貢献するNASAのヘリコプター「Ingenuity」

世界中の開発者が歴史的な飛行に貢献 4月19日(米国時間)、約12,000人の開発者のGitHubプロフィールに、新しいバッジが追加されます。このバッジは、NASAが火星でのヘリコプター「Ingenuity」の飛行に使用している特定バージョンのプロジェクトおよびライブラリーに開発者が貢献したことを称えるものです。

Image of Lea Nagashima

オープンソースが実現する、火星探索🚀

4月19日(米国時間)の朝、史上初となる火星ヘリコプターである「Ingenuity」(インジェニュイティ)が、火星の極めて薄い大気中を飛行する姿を、私たちは緊張の面持ちで見つめました。これは、世界中のオープンソース開発者によって構成された、目に見えないチームによるサポートの賜物です。実際、GitHubを利用する約12,000名の開発者が、オープンソースを通じてIngenuityのソフトウェア開発に貢献しています。

Image of Nat Friedman

Universe 2020の見どころ:DevOps

今年の最大の変化は、GitHub Universeが100%オンラインになることです。開催期間は3日間で、毎日5時間のコンテンツを配信します。ライブ配信をご覧になれない方々のために、アジア太平洋地域の時間帯で再配信も行います。さらに、今年リリースした数多くの機能のアップデートを行います。GitHub Code Scanningの詳細情報や、GitHub DiscussionsとGitHub Actionsの最新情報などをお知らせする予定です。

Image of Brian Douglas

GitHub Universe 2020

日本時間12月9日〜11日に、GitHub Universeを開催します。日本からはTRI-AD(トヨタ・リサーチ・インスティテュート・アドバンスト・デベロップメント株式会社)から、2名をゲストスピーカーとしてご招待しました。誰でも無料で参加できるのでぜひご参加ください!

Image of Lea Nagashima

ReadMEプロジェクト

GitHubは、ストーリーを共有し互いの学びを提供するソフトウェアコミュニティのための新たなスペースとして、「ReadMEプロジェクト」を立ち上げることになりました。このプロジェクトでは、今後数か月にわたり、個人の成長、専門的な課題、教訓といった、恐らく皆さんが日々経験されているが、普段は見ることがないOSSプロジェクトの裏側にある道のりを知ることができます。

Image of Brian Douglas
View more posts