GitHub Advanced Security の基本
GitHub Advanced Security (GHAS) は、開発者ファーストのアプリケーション セキュリティ テスト ソリューションで、GitHub の世界有数のセキュリティ能力をパブリック リポジトリとプライベート リポジトリに取り込んでいます。高度に洗練された検出と修復の能力が、世界最高水準のセキュリティ エンジニアによって作成されていて、コード、シークレット、ソフトウェアサプライチェーンをできる限り安全に保つことを保証します。さらに、完全に自動化されているため、GHAS テストの実行を忘れないようにする必要もなく、セキュリティ レビューを待ってからマージする必要もありません。
このモジュールでは、GHAS の該当について説明したあと、そのまま脆弱性の修正と将来のセキュリティ問題の防止に取り組みます。いずれもわずか数クリックで実行できます。今回のモジュールでは、カナダの電気通信事業者 TELUS でエンジニアリング プロダクティビティ担当ディレクターを務める Justin Watts 氏をお迎えして、インサイトやベスト プラクティスを紹介してもらいます。
このモジュールを最後まで進めると、GHAS に用意されている検出方法、その主要な機能の違い、これらの主要な機能をリポジトリ レベルのデフォルト設定で有効にする方法、結果の表示と脆弱性の修復を開始する方法を理解できるようになります。
前提条件
GitHub Advanced Security ライセンス
リポジトリ管理者か Organization のセキュリティ マネージャーの権限
リポジトリのフォークや変更のコミットなど、GitHub の基本的な知識
このモジュールでは、OWASP Juice Shop というサンプル アプリケーションを使用して、GitHub Advanced Security の機能を見ていきます。Juice Shop は、セキュリティ テストやベンチマーク評価に広く使用されているオープンソースの、意図的に安全性を低下させたアプリケーションです。
基礎モジュールの概要
ガイド 1: GitHub Advanced Security を理解する
GHAS に用意されている検出方法、さまざまな機能がソフトウェアのさまざまな部分のセキュリティを確保するのにどのように役立つか、セキュリティの進捗状況を報告するためにどのような機能が利用できるかについて説明します。
ガイド 2: GitHub Advanced Security を有効化する
リポジトリ レベルで GitHub Advanced Security を有効にする方法について説明します。これには、コード スキャン、CodeQL、依存関係レビュー、シークレット スキャンが含まれます。
ガイド 3: GitHub Advanced Security スキャン結果をレビューする
コード スキャン、シークレット スキャン、Dependabot の結果を表示する方法、シークレット スキャンでの偽陽性を無視する方法、Dependabot を使用して脆弱性を自動的に修復する方法について説明します。
以下の組織の業界エキスパートによるインサイト:
TELUS: TELUS はカナダ有数の通信情報技術プロバイダーで、カナダ全土で 3,500 万人を超える人々のために必要不可欠なサービスを支えています。5,000 人近くの開発者、アナリスト、技術者を含む、78,000 人の多様なチームを抱える TELUS は、多種多様なツールと技術の統合という非常に困難なタスクに直面しています。TELUS は GitHub を導入することでソフトウェア開発を一元化し、GitHub Actions を使ってテストを合理化し、セキュリティ プロトコルを強化しました。その結果、時間を大幅に節約でき、約 5,000 人のテクノロジー担当者で構成されたワークフォースでコードの品質が改善されるようになりました。