4月19日（米国時間）の朝、史上初となる火星ヘリコプターである「Ingenuity」（インジェニュイティ）が、火星の極めて薄い大気中を飛行する姿を、私たちは緊張の面持ちで見つめました。これは、世界中のオープンソース開発者によって構成された、目に見えないチームによるサポートの賜物です。実際、GitHubを利用する約12,000名の開発者が、オープンソースを通じてIngenuityのソフトウェア開発に貢献しています。

GitHub Advanced Securityでは、コミュニティが主導する開発者ファーストのアプローチで、安全なアプリケーション開発を可能にします。今回、2つのアップデートについて発表します。

セキュリティ概要のベータ版開始 – GitHubにホスティングしているアプリケーションがセキュリティリスクにさらされている場合、その概要を確認できます。
プライベートリポジトリ向けSecret Scanningの提供を開始 – 範囲を拡大し、パートナーが35社以上になりました。

itHub ActionsとGitHub Advanced Securityを連携し、GitHub EnterpriseにネイティブにDevSecOpsを実装できます。本ブログでは、OWASPのDevSecOps成熟度モデル(DSOMM)を参照しつつ、開発ワークフロー内でソフトウェア構成分析(SCA)、静的アプリケーションセキュリティテスト(SAST)、動的アプリケーションセキュリティテスト(DAST)、さらにGitHubのネイティブ機能であるシークレットスキャンを実行することで、レベル1の成熟度を達成する方法を説明します。

GitHub Desktop 2.7でcherry-pickに対応しました。

最新バージョンのGitHub Mobileでは、通知をさらに管理しやすくするための機能を数多くリリースしているほか、アプリ上でネイティブにリリースを確認できるようになっています。すでにiOSでの利用が可能で、Androidでも利用が可能になる予定です。

GitHub は、大規模なモノリポを使用する一部の顧客から、プッシュ操作が失敗するといったパフォーマンスの問題が発生しているというフィードバックを受けました。 github/github は GitHub のモノリポですが、私達自身も時々プッシュに失敗することがありました。そこで、モノリポのプッシュパフォーマンスを改善するために様々なアプローチを行い、これらを組み合わせることで、プッシュトラフィックを処理する能力が少なくとも一桁向上しました。

よりセキュアなコードのリリースは、開発者を中心に考え、開発の初期段階からセキュリティの問題を解決するワークフローが重要です。本ブログでは、ワークフローのすべてのステップでセキュリティを組み込む方法について検討します。この投稿では、GitHubの依存関係グラフを支えているものについて、GitHubのサプライチェーンセキュリティ製品管理者であるMaya Kaczorowskiが詳しく説明します。

よりセキュアなコードのリリースは、開発の最終段階でセキュリティチェックを行うのではなく、初期段階から対策を行える開発プロセスを構築することと、開発者がセキュリティの修正を行いやすい環境を整えることが重要です。本ブログでは、GitHubのセキュリティ担当プロダクトマネージャーのMaya Kaczorowskiが依存関係について詳しく説明し、依存関係を最新の状態に保つべき理由と、最も重要なときに迅速かつ確実にパッチを適用できるようにする方法を説明します。

このたび、Mike Hanleyが最高セキュリティ責任者（CSO）として就任したことをお知らせします。

今日のソフトウェア開発はオープンソースなくして進めることは不可能に近い一方で、多くの企業がオープンソースやオープンソースの依存関係に関するセキュリティ対策を難しいと感じています。オープンソースのCVEの管理、オープンソースソフトウェア(OSS)ライセンスの遵守、または使用中の依存関係バージョンの追跡を行うだけで、多くの時間を浪費するだけでなく、セキュリティチームが脆弱なOSSコードのリスクを手動で管理しなければならないこともあります。

GitHubの依存関係インサイトなら、オープンソースの依存関係の概要をひと目で把握でき、こうした課題を解決することができます。