GitHub Advanced Security の基本

GitHub Advanced Security (GHAS) は、開発者ファーストのアプリケーションセキュリティテストソリューションで、GitHub の世界有数のセキュリティ能力をパブリックリポジトリとプライベートリポジトリに取り込んでいます。高度に洗練された検出と修復の能力が、世界最高水準のセキュリティエンジニアによって作成されていて、コード、シークレット、ソフトウェアサプライチェーンをできる限り安全に保つことを保証します。さらに、完全に自動化されているため、GHAS テストの実行を忘れないようにする必要もなく、セキュリティレビューを待ってからマージする必要もありません。

このモジュールでは、GHAS の該当について説明したあと、そのまま脆弱性の修正と将来のセキュリティ問題の防止に取り組みます。いずれもわずか数クリックで実行できます。今回のモジュールでは、カナダの電気通信事業者 TELUS でエンジニアリングプロダクティビティ担当ディレクターを務める Justin Watts 氏をお迎えして、インサイトやベストプラクティスを紹介してもらいます。

このモジュールを最後まで進めると、GHAS に用意されている検出方法、その主要な機能の違い、これらの主要な機能をリポジトリレベルのデフォルト設定で有効にする方法、結果の表示と脆弱性の修復を開始する方法を理解できるようになります。

前提条件

GitHub Advanced Security ライセンス
リポジトリ管理者か Organization のセキュリティマネージャーの権限
リポジトリのフォークや変更のコミットなど、GitHub の基本的な知識

このモジュールでは、OWASP Juice Shop というサンプルアプリケーションを使用して、GitHub Advanced Security の機能を見ていきます。Juice Shop は、セキュリティテストやベンチマーク評価に広く使用されているオープンソースの、意図的に安全性を低下させたアプリケーションです。

基礎モジュールの概要

ガイド 1: GitHub Advanced Security を理解する

GHAS に用意されている検出方法、さまざまな機能がソフトウェアのさまざまな部分のセキュリティを確保するのにどのように役立つか、セキュリティの進捗状況を報告するためにどのような機能が利用できるかについて説明します。

ガイド 2: GitHub Advanced Security を有効化する

リポジトリレベルで GitHub Advanced Security を有効にする方法について説明します。これには、コードスキャン、CodeQL、依存関係レビュー、シークレットスキャンが含まれます。

ガイド 3: GitHub Advanced Security スキャン結果をレビューする

コードスキャン、シークレットスキャン、Dependabot の結果を表示する方法、シークレットスキャンでの偽陽性を無視する方法、Dependabot を使用して脆弱性を自動的に修復する方法について説明します。

以下の組織の業界エキスパートによるインサイト: