Cartoon rock climber using proper security techniques while climbing a rock wall

GitHub Advanced Security 中級

Nicholas Liffen
Nicholas Liffen // Director, GitHub Advanced Security // GitHub

GitHub Advanced Security (GHAS) は、導入後すぐに大多数の企業のニーズを満たすように設計されています。GHAS が提供する保護の恩恵を全てのユーザーがすぐに受けられるように、構成の必要性を最小限に抑えるよう努めています。ただし、企業のセキュリティに関しては、万能な方法はありません。

このモジュールでは、GitHub Advanced Security をデフォルト設定だけでなく、組織のニーズを満たすように構成する方法を紹介します。途中から Telus、KPMG、LinkedIn のエキスパートが参加し、GHAS を実装する際に学んだ教訓を共有します。

このモジュールを完了すると、CodeQL、シークレット スキャン、依存関係レビューの構成ファイルに精通し、独自の GHAS 設定のカスタマイズを開始できるようになります。

前提条件

  • GitHub Advanced Security ライセンス

  • リポジトリ管理者か Organization のセキュリティ マネージャーの権限

  • リポジトリのフォークや変更のコミットなど、GitHub の基本的な知識

  • GitHub Actions についてある程度の知識があることが望ましい

このモジュールでは、Web Goat というサンプル アプリケーションを使用して、GHAS の機能を確認します。Web Goat は意図的に安全性を低下させたオープンソースのアプリケーションで、セキュリティ テストやベンチマーク評価に広く使用されています。

中級モジュールの概要

ガイド 1: CodeQL 詳細設定

デフォルト設定の代わりに CodeQL 詳細設定を使用する場合、CodeQL 構成ファイルを編集する方法、CodeQL のカスタム構築手順を設定する方法。

ガイド 2: CodeQL でテストのスコープを微調整する

CodeQL スキャンからファイルやフォルダーを除外する方法、CodeQL スキャンの一部として実行するクエリを変更する方法、CodeQL に含まれる 3 つのデフォルトのクエリ スイートの違い。

ガイド 3: GitHub コード スキャンを使用してサード パーティ ツールによるテストを拡張する

サードパーティ ツールが GitHub コード スキャンに役立つ理由、GitHub Actions を使用してサードパーティ ツールをコード スキャンに統合する方法、サードパーティのコード スキャン ツールの結果をコード スキャンで表示する方法。

ガイド 4: シークレット スキャンのスコープをカスタマイズする

シークレット スキャン構成ファイルの作成方法、シークレット スキャンからファイルやフォルダーを除外する方法、除外するものと除外しないもの決定するためのベスト プラクティス。

ガイド 5: 依存関係レビューの構成をカスタマイズする

依存関係レビュー ワークフロー ファイルを編集して、アラートをトリガーする脆弱性重大度レベルの変更、特定のライセンスのブロック、脆弱な依存関係の特定のデプロイ環境へのマージの防止など、一般的な依存関係レビューのカスタマイズを実装する方法。

以下の組織の業界エキスパートによるインサイト:

Telus: TELUS はカナダ有数の通信情報技術プロバイダーで、カナダ全土で 3,500 万人を超える人々のために必要不可欠なサービスを支えています。5,000 人近くの開発者、アナリスト、技術者を含む、78,000 人の多様なチームを抱える TELUS は、多種多様なツールと技術の統合という大規模なタスクに直面しています。TELUS は GitHub を導入することでソフトウェア開発を一元化し、GitHub Actions をとおしてテストを合理化し、セキュリティ プロトコルを強化しました。その結果、時間を大幅に節約でき、約 5,000 人のテクノロジー担当者で構成されたワークフォースでコードの品質が改善されるようになりました。

LinkedIn: 求人情報やネットワーキングの機会から記事やオンライン コースに至るまで、LinkedIn では、刻々と変化する仕事の世界をナビゲートするためのリソースをすぐに利用できます。2003 年に設立された LinkedIn は、世界中のプロフェッショナルを結びつけ、生産性と成功を高めています。LinkedIn は、フォーチュン 500 社に名を連ねる企業のエグゼクティブを含む、世界中に 8 億 5,000 万人を超える登録メンバーを擁する世界最大のプロフェッショナル ネットワークです。

KPMG: 世界をリードするプロフェッショナル サービス組織である KPMG は、「ビッグ 4」と呼ばれる会計事務所の 1 つで、税務、監査、その他の会計関連サービスでよく知られています。しかし、それだけではありません。KPMG は、クライアントの複雑なビジネス問題の解決を支援し、デジタル変革の推進やカスタム ソフトウェアの開発を加速させています。KPMG は、監査および会計事務所としての伝統から、大規模な技術およびエンジニアリング人材を擁する総合サービス企業へと変貌を遂げました。

ガイド 1: 「CodeQL 詳細設定」を始める