itHub ActionsとGitHub Advanced Securityを連携し、GitHub EnterpriseにネイティブにDevSecOpsを実装できます。本ブログでは、OWASPのDevSecOps成熟度モデル(DSOMM)を参照しつつ、開発ワークフロー内でソフトウェア構成分析(SCA)、静的アプリケーションセキュリティテスト(SAST)、動的アプリケーションセキュリティテスト(DAST)、さらにGitHubのネイティブ機能であるシークレットスキャンを実行することで、レベル1の成熟度を達成する方法を説明します。
よりセキュアなコードのリリースは、開発者を中心に考え、開発の初期段階からセキュリティの問題を解決するワークフローが重要です。本ブログでは、ワークフローのすべてのステップでセキュリティを組み込む方法について検討します。この投稿では、GitHubの依存関係グラフを支えているものについて、GitHubのサプライチェーンセキュリティ製品管理者であるMaya Kaczorowskiが詳しく説明します。
よりセキュアなコードのリリースは、開発の最終段階でセキュリティチェックを行うのではなく、初期段階から対策を行える開発プロセスを構築することと、開発者がセキュリティの修正を行いやすい環境を整えることが重要です。本ブログでは、GitHubのセキュリティ担当プロダクトマネージャーのMaya Kaczorowskiが依存関係について詳しく説明し、依存関係を最新の状態に保つべき理由と、最も重要なときに迅速かつ確実にパッチを適用できるようにする方法を説明します。
今日のソフトウェア開発はオープンソースなくして進めることは不可能に近い一方で、多くの企業がオープンソースやオープンソースの依存関係に関するセキュリティ対策を難しいと感じています。オープンソースのCVEの管理、オープンソースソフトウェア(OSS)ライセンスの遵守、または使用中の依存関係バージョンの追跡を行うだけで、多くの時間を浪費するだけでなく、セキュリティチームが脆弱なOSSコードのリスクを手動で管理しなければならないこともあります。
GitHubの依存関係インサイトなら、オープンソースの依存関係の概要をひと目で把握でき、こうした課題を解決することができます。
GitHub Enterpriseのセキュリティ機能を活用することで開発環境におけるセキュリティレベルを上げることが可能ですが、システムだけでセキュリティを担保することはできません。
各企業において、公共の場所ではパソコンのスクリーンにカバーをして画面の閲覧ができないようにする、ソースコードを許可なく持ち出したり、外部サイトに投稿しないようにするなど、ソフトウェア開発部門のセキュリティトレーニングの実施を行い、意図しない情報漏えいを防ぐことも必要です。
GitHub Security Labが1周年を迎えました!
このGitHub Security Labでは、オープンソースエコシステムを保護するために、リソース、ツール、報奨金を提供するとともに、セキュリティ研究に取り組んでいます。エコシステムの保護は、GitHubだけで解決できる課題ではありません。そのため、「オープンソースのセキュリティはすべての人にとって重要である」という私たちと同じ信念をもつ研究者、メンテナー、企業とともに、業界全体で連携すべきだと考えています。GitHub Security Labのミッションは、オープンソースソフトウェア(OSS)における3つの主軸、セキュリティ研究、コミュニティの構築、業界の積極的な関与に、重点的に取り組むことです。
GitHub のCode Scanning を使うことで、ソフトウェアの本番環境リリース前にセキュリティの脆弱性を簡単に見つけられるようになります。GitHubは今回、Code Scanning を正式にリリース (GA: General Availability) しました。 本日から、パブリックリポジトリで利用できるようになります。
GitHubオンラインカンファレンス開催(8/5) カンファレンスではGitHubの新機能紹介のほか、Code for Japanをゲストスピーカーとしてお招きします。また、リモートワークに関するパネルディスカッションも行います。本カンファレンスはどなたでも無料で参加できます。
GitHub Satellite 2020で多くの新機能を発表:GitHub Discussions、Codespaces、プライベートリポジトリ内のコードセキュリティ
