npm CLIを使用したログインおよびパブリッシュの改善、GitHubアカウントとTwitterアカウントの接続、npmでのパッケージの整合性を検証する新しいCLIコマンドなど、npmのセキュリティを強化しました。

GitHubのCodeQLがAUTOSAR C++ とCERT C++に対応。これらのクエリは、ISO 26262 Part 6プロセスへの準拠を実証しようとする開発者を支援します。

GitHub Enterprise Server 3.5がリリースされました。今回のリリースでは、GitHub Container Registryへのアクセスの提供、Dependabotの追加、管理者機能の強化、さらにGitHub Advanced Securityの機能追加が行われました。

8周年を迎えたGitHubセキュリティバグ報奨金プログラムからの研究者への支払い総額が2,000,000米ドルを超えました。2019年に1,000,000米ドルを超えてから、まだ2年しか経っていません。昨年1年間では、プログラム全体で合計800,000米ドル以上の報奨金が支払われました。

GitHubのISMS(情報セキュリティマネジメントシステム)が、セキュリティ管理のベストプラクティスと包括的なセキュリティ制御を規定した国際的なセキュリティ管理標準「ISO/IEC 27001:2013」の認証を取得しました。

GitHub.comでソフトウェアの開発に貢献するすべてのユーザーは、2023年の終わりまでに1つ以上の2要素認証(2FA)形式を有効化するようお願いいたします。

GitHubはGitHub Advanced Securityのユーザー向けに、「git push」の受け入れ前にSecret Scanningを実行することで、漏えいの発生を完全に防ぐオプションを追加しました。

気Javaライブラリ「Apache Log4j」の2.16.0より前のバージョンに脆弱性が含まれているというニュースが、世界中で注目されています。現在、本脆弱性の影響を軽減するための最も推奨されている解決策は、アプリケーション内で使われている Log4j をバージョン 2.16.0 にアップグレードすることです。さらに、GitHubのセキュリティ機能を使用して影響範囲を評価し、対処することも可能です。

2021年12月9日（木）（米国現地時間）、GitHubはLog4jロギングフレームワークCVE-2021-44228の脆弱性を確認し、対応プロセスを即時に開始しました。
GitHub Enterprise Serverのインスタンス保護のために、以下の手順のいずれかを、すぐに実行してください。

1、Log4jの脆弱性に対応するため、GitHub Enterprise Serverを新しいバージョンにアップグレードしてください。この脆弱性に対応する新しいリリースは、3.3.1、3.2.6、3.1.14、および3.0.22です。
2、ホットパッチの使用手順に沿って、既存のGitHub Enterprise Serverインスタンスを最新のパッチリリースにアップグレードしてください。この方法では、メンテナンスウィンドウなしでインスタンスをアップグレードできます。

2021年8月13日からGit操作の認証時にアカウントパスワードの受け入れを停止すること、およびGitHub.comで認証済みのGit操作を行う場合は必ず、パーソナルアクセストークン、SSHキー(開発者向け)、またはOAuthやGitHub Appインストールトークン(インテグレーター向け)といった強力な認証要素の使用が必要になりました。