Alternative Architecture DOJO

オルターブースのクラウドネイティブ特化型ブログです。

GitHub Advanced Securityとはなにか

こんにちわ。オルターブース小島です。 今日はへーしゃーではなくへーしゃーのグループ企業であるインフォコムグループのアドベントカレンダー2日目ということで書きますね。 インフォコムグループアドベントカレンダーはこちらです!

qiita.com

ちなみに非公式らしい(笑)でも盛り上がっちゃえばいいよねー!!

ってことで今回はGitHub Advanced Securityのお話です。

だけじゃないGitHub!

だけじゃない〇〇ってCMがありましたねー!!GitHubって単なるGitリポジトリーサービスっていうわけじゃないの知ってましたか? その中でも僕的推しサービスが以下です。

他にもたくさんありますね!!最近ではGitHub Co-pilotが話題ですが今回はセキュリティのサービスをご紹介します。

GitHub Advanced Security

GitHub Advanced Security(略してGHASって書きます)はGitHubで管理されているコードベースとその環境に対してセキュリティの脆弱性を診断し特定するツール群です。 ちょっとおもしろいのがその脆弱性を検知する領域で、主に3つの領域を中心に保護しています。

  1. サプライチェーン
  2. コード
  3. 環境

2と3はわかるとして、1がとても特徴的です。これは端的に言うと開発ライフサイクルそのもので依存するサードパーティ製品も含まれます。GHASはこの依存関係についても脆弱性のフラグを立てることができます。なので、OSS開発者にとっては非常にありがたい機能なんですね。 さらにGitHub Advisory Databaseというものが依存関係の状態に関するデータを蓄積し、サードパーティに何かしらの問題があったときであっても情報を提供する仕組みがあります。

このようにコードの依存関係を常に関しし、状態を把握することでコード全体の保護をしているんです。そして、次はコードそのものです。 これはCode Scanningという診断機能が提供されています。 それをGitHub Actionsと組み合わせ自動化します。

Code ScanningはCodeQLという静的コード分析エンジンが備わっており以下の言語がサポートされています。

  • C/C++
  • Java
  • C#
  • Python
  • Go
  • JavaScript
  • TypeScript
  • Ruby(最近加わった)

ちなみに脆弱性診断の範囲は、コードのスキャンだけでなく、シークレットやトークンの検出、依存関係にあるパッケージの脆弱性も含めて診断されます。 これは神機能!!

GHASを使うには?

はい、最後ここで僕からのお知らせです。 この超絶便利なGHASを使うには、GitHub Enterpriseで利用が可能なのです!!

GitHub Enterpriseで利用が可能なのです!!

弊社はGitHub Enterpriseの提供をしておりますので、もしGHASなどご興味ございましたら是非以下のサイトからご連絡いただければと思います!!

www.alterbooth.com

ってことでインフォコムアドベントカレンダー2日目でした!! 引き続きよろしくおねがいします!