GitHubは、パブリックリポジトリおよびプライベートリポジトリのシークレット漏洩を未然に防ぐ、プッシュ保護の一般提供(GA)を発表しました。

npmパッケージをGitHub Actionsのソースリポジトリやビルド手順に結び付ける方法についてご紹介します。

オープンソースのメンテナーやセキュリティ研究者が脆弱性の報告・修正に使用できる新しいベストプラクティスです。

開発者の皆さんとコンプライアンスチームの方々を対象に、クラウドリポジトリ向けの新しいSBOM生成ツールの提供を開始します。

GitHubは2023年3月13日より、2023年末までにGitHub.comでコードを投稿するすべての開発者に2要素認証（2FA）の有効化を義務付ける取り組みを正式に展開します。

すべてのパブリックリポジトリでSecret scanningアラートを無料で利用できるようになりました。管理者はワンクリックでアラートを有効化できます。

GitHub上のパブリックリポジトリで漏洩したシークレットを無料で追跡できるようになりました。Secret scanningアラートを使えば、GitHub内で流出したシークレットを追跡し、対処することができます。

GitHub Advanced Securityを利用する組織の管理者は、ワンクリックでプッシュ時にカスタムパターンを保護することができます。

GitHub Actionsのワークフローに脆弱性が存在する場合、Dependabotアラートが送信されるようになります。これにより、今までよりも簡単に、GitHub Actionsワークフローで最新の状態を維持し、セキュリティの脆弱性を修正できるようになります。

npm CLIを使用したログインおよびパブリッシュの改善、GitHubアカウントとTwitterアカウントの接続、npmでのパッケージの整合性を検証する新しいCLIコマンドなど、npmのセキュリティを強化しました。