Three guards guarding art in a museum

GitHub Advanced Security 上級

Nicholas Liffen
Nicholas Liffen // Director, GitHub Advanced Security // GitHub

GitHub Advanced Security (GHAS) の主要な機能をオンにすると、常にバックグラウンドで実行されて、コードを安全に保ちます。しかし、GitHub に最初から用意されているスキャンを実行する他にも、GHAS でできることがあります。このモジュールでは、GHAS のさらに高度な能力を詳しく見ていきます。

前提条件:

  • GitHub Advanced Security ライセンス

  • CodeQL、依存関係グラフ、Dependabot アラート、シークレット スキャン、プッシュ保護が全て有効になっていること

  • リポジトリ管理者か Organization のセキュリティ マネージャーの権限

  • リポジトリのフォークや変更のコミットなど、GitHub の基本的な知識

  • GitHub Actions についてある程度の知識があることが望ましい

このモジュールでは、Web Goat というサンプル アプリケーションを使用して、GHAS の機能を確認します。Web Goat は意図的に安全性を低下させたオープンソースのアプリケーションで、セキュリティ テストやベンチマーク評価に広く使用されています。以前のセキュリティ パス (基礎または中級) のいずれかを完了している場合は、同じリポジトリを使用し続けることができます。

上級モジュールの概要

ガイド 1: 一元的な CodeQL 構成ファイルを作成する

CodeQL 構成を一元管理する理由と方法、一元的な CodeQL 構成ファイルへのアクセスを有効にする方法、個々のリポジトリに構成ファイルを指定する方法。

ガイド 2: エンドツーエンドのソフトウェア サプライ チェーンを理解する

GitHub Actions を使用して依存関係スナップショットを作成およびアップロードする方法、依存関係グラフで結果を表示する方法、GitHub Actions を使用してソフトウェア部品表 (SBOM) を自動的にエクスポートする方法。