ソフトウェアサプライチェーンとは、コードに組み込まれる、またはコードに影響するすべてのものです。サプライチェーンのセキュリティ侵害は現実に起きており、依然としてレアケースではありますが、発生頻度は高くなっています。そのため、サプライチェーンを保護するために最も重要なのは、脆弱性にパッチを適用することです。ソフトウェアサプライチェーンを効果的にセキュリティ保護するために、環境の依存関係を理解し、その依存関係における脆弱性を知り、それらにパッチを適用する必要があります。GitHubネイティブのSCA機能を有効にすることで、依存グラフ、Dependabotアラート、Dependabotセキュリティおよびバージョンアップデートにより、依存関係の管理とパッチ適用の面倒な作業を自動化できます。

Code Scanningでは、どの段階でも開発者のエクスペリエンスが優先されます。その中核にある静的分析エンジン(CoreQL)は高速でパワフルなので、実際のセキュリティの問題をノイズなく検出できます。このエンジンで実行されるクエリは正確かつ構成可能であるうえに、オープンソースコミュニティが常に改良を加えています。結果は、詳細の説明や修正案とともに、インラインのPull Requestコメントに表示されます。すべての構成は、GitHub Actionsのワークフローファイルでコードとして行われます。GitHub.comだけでなく、オプレミス版のGitHub Enterprise Server 3.0でもCode Scanningが使えるようになりました。ぜひ、お試しください。

DevSecOpsは、DevOpsのコンセプトをセキュリティにも適応し、セキュリティプラクティスを開発ライフサイクルの一部として認識して継続的に適用し、その責任をチーム全体で共有するという、考え方の転換です。DevOpsとDevSecOpsの違いは、DevOpsでは、インフラストラクチャを管理していない場合であっても、すべての人がシステムダウンに対する責任を負います。DevSecOpsでは、ソフトウェアの開発に関与していない場合であっても、すべての人が脆弱性に対する責任を負います。

ghコマンドにより、開発者はPull Request、Issue、Gistなどを管理するために、コマンドラインでGitHubが使えるようになりました。1.9.0では、GitHubのさらに多くの機能をターミナルで利用できます。

日本企業においては、内製化を進めたいという意思は高まっているものの、なかなか進まない状況にあります。その理由のひとつは、DXなどに牽引されるIT市場の増加が引き起こす、圧倒的なエンジニアの人材不足です。このような状況を改善するために、開発環境を自社で準備することで、外部委託ベンダーに対する依存を、段階的に引き下げることを推奨します。

世界中の開発者が歴史的な飛行に貢献 4月19日（米国時間）、約12,000人の開発者のGitHubプロフィールに、新しいバッジが追加されます。このバッジは、NASAが火星でのヘリコプター「Ingenuity」の飛行に使用している特定バージョンのプロジェクトおよびライブラリーに開発者が貢献したことを称えるものです。

4月19日（米国時間）の朝、史上初となる火星ヘリコプターである「Ingenuity」（インジェニュイティ）が、火星の極めて薄い大気中を飛行する姿を、私たちは緊張の面持ちで見つめました。これは、世界中のオープンソース開発者によって構成された、目に見えないチームによるサポートの賜物です。実際、GitHubを利用する約12,000名の開発者が、オープンソースを通じてIngenuityのソフトウェア開発に貢献しています。

GitHub Advanced Securityでは、コミュニティが主導する開発者ファーストのアプローチで、安全なアプリケーション開発を可能にします。今回、2つのアップデートについて発表します。

セキュリティ概要のベータ版開始 – GitHubにホスティングしているアプリケーションがセキュリティリスクにさらされている場合、その概要を確認できます。
プライベートリポジトリ向けSecret Scanningの提供を開始 – 範囲を拡大し、パートナーが35社以上になりました。

itHub ActionsとGitHub Advanced Securityを連携し、GitHub EnterpriseにネイティブにDevSecOpsを実装できます。本ブログでは、OWASPのDevSecOps成熟度モデル(DSOMM)を参照しつつ、開発ワークフロー内でソフトウェア構成分析(SCA)、静的アプリケーションセキュリティテスト(SAST)、動的アプリケーションセキュリティテスト(DAST)、さらにGitHubのネイティブ機能であるシークレットスキャンを実行することで、レベル1の成熟度を達成する方法を説明します。

GitHub Desktop 2.7でcherry-pickに対応しました。