All posts

Thank you, GitHub

GitHubのChief Product OfficerであるThomas Dohmke (@ashtom)が11月15日付でCEOに就任し、私は名誉会長となることを発表いたします。
Thomasは数十年にわたって開発者のために尽力し、GitHubの買収の成功において極めて重要な役割を果たしてくれました。彼のリーダーシップの下で迎えるGitHubの未来に期待しています。

Image of Nat Friedman

Nat Friedman

GitHub Universe 2021

昨年のGitHub Universe以降、私たちはエンジニアやオープンソースコミュニティ、企業における開発環境など、さまざまなユーザーのために、20,000を超えるGitHubの機能改善をリリースしてきました。本ブログでは、今週のUniverseで発表する内容について概要を紹介します。GitHubがどのようにエンジニアのエクスペリエンスを変革して、エンジニアが「優れたソフトウェアを開発する」という重要事項に専念できるよう支援しているかについて、2021年10月27日と28日(米国時間)のライブ配信をご覧ください。これら配信は、オンデマンド配信でもご覧いただけます。

Image of Thomas Dohmke

Thomas Dohmke

GitHub Enterprise Server 3.2 がリリースされました

GitHub Enterprise Server 3.2がリリースされました。今回のリリースでは、70以上の新機能や変更点が追加され、開発者の利便性を向上させるとともに、新しいセキュリティ機能が追加されました。すべての変更点はリリースノートに記載されていますが、ここではこのリリースの6つのハイライトをご紹介します。

2要素認証によるGitHubアカウントの保護

2021年8月13日からGit操作の認証時にアカウントパスワードの受け入れを停止すること、およびGitHub.comで認証済みのGit操作を行う場合は必ず、パーソナルアクセストークン、SSHキー(開発者向け)、またはOAuthやGitHub Appインストールトークン(インテグレーター向け)といった強力な認証要素の使用が必要になりました。

Image of Mike Hanley

Mike Hanley

7周年を迎えたGitHubセキュリティバグ報奨金プログラム

GitHubが取り組むセキュリティの開発ライフサイクルにおいて重要な要素の1つが、GitHubセキュリティバグ報奨金プログラムを通じたセキュリティ研究者やバグ報奨金コミュニティとのパートナーシップです。2014年のプログラム開始以来、このプログラムと研究者たちの貢献によって、GitHubはより安全な製品を提供することができるようになりました。
本ブログでは、7年目を迎えたバグ報奨金プログラムの成果に関する説明に加え、このプログラムで軽減された興味深い脆弱性の詳細や来年に向けた展望をご紹介します。

Image of Greg Ose

Greg Ose

ショートQ&A:5分間でわかるDevSecOps

以前のブログでDevSecOpsの意味と、開発チームのセキュリティのベストプラクティスについて説明しましたが、いくつかのの質問をいただいたので、ショートQ&Aを設けました。DevSecOpsが開発者にとって重要である理由と、開発者ワークフローへの適用方法についてわかりやすく説明します。

Image of Grace Madlinger

Grace Madlinger

脅威をモデル化する

GitHubでの脅威のモデル化を向上させるための主な取り組みの概要は以下のとおりです。

– 脅威のモデル化プロセスを既存の開発ライフサイクルプロセスに統合し、可能であれば自動化する
– 全員が準備を整えた状態で臨む
– STRIDEなど、定義された仕組みを用いてリスク領域を体系的に網羅する
– 具体的なアクションアイテムを持ち帰る
– フォローアップ

Image of Robert Reichel

Robert Reichel

ソフトウェアサプライチェーンのセキュリティとは何か?なぜ重要なのか?〜開発ワークフロー全体をセキュアに

ソフトウェアサプライチェーンとは、コードに組み込まれる、またはコードに影響するすべてのものです。サプライチェーンのセキュリティ侵害は現実に起きており、依然としてレアケースではありますが、発生頻度は高くなっています。そのため、サプライチェーンを保護するために最も重要なのは、脆弱性にパッチを適用することです。ソフトウェアサプライチェーンを効果的にセキュリティ保護するために、環境の依存関係を理解し、その依存関係における脆弱性を知り、それらにパッチを適用する必要があります。GitHubネイティブのSCA機能を有効にすることで、依存グラフ、Dependabotアラート、Dependabotセキュリティおよびバージョンアップデートにより、依存関係の管理とパッチ適用の面倒な作業を自動化できます。

Image of Maya Kaczorowski

Maya Kaczorowski

Code ScanningでDevSecOpsを実践〜開発ワークフロー全体をセキュアに

Code Scanningでは、どの段階でも開発者のエクスペリエンスが優先されます。その中核にある静的分析エンジン(CoreQL)は高速でパワフルなので、実際のセキュリティの問題をノイズなく検出できます。このエンジンで実行されるクエリは正確かつ構成可能であるうえに、オープンソースコミュニティが常に改良を加えています。結果は、詳細の説明や修正案とともに、インラインのPull Requestコメントに表示されます。すべての構成は、GitHub Actionsのワークフローファイルでコードとして行われます。GitHub.comだけでなく、オプレミス版のGitHub Enterprise Server 3.0でもCode Scanningが使えるようになりました。ぜひ、お試しください。

Image of Grey Baker

Grey Baker