GitHubはGitHub Advanced Securityのユーザー向けに、「git push」の受け入れ前にSecret Scanningを実行することで、漏えいの発生を完全に防ぐオプションを追加しました。

気Javaライブラリ「Apache Log4j」の2.16.0より前のバージョンに脆弱性が含まれているというニュースが、世界中で注目されています。現在、本脆弱性の影響を軽減するための最も推奨されている解決策は、アプリケーション内で使われている Log4j をバージョン 2.16.0 にアップグレードすることです。さらに、GitHubのセキュリティ機能を使用して影響範囲を評価し、対処することも可能です。

2021年12月9日（木）（米国現地時間）、GitHubはLog4jロギングフレームワークCVE-2021-44228の脆弱性を確認し、対応プロセスを即時に開始しました。
GitHub Enterprise Serverのインスタンス保護のために、以下の手順のいずれかを、すぐに実行してください。

1、Log4jの脆弱性に対応するため、GitHub Enterprise Serverを新しいバージョンにアップグレードしてください。この脆弱性に対応する新しいリリースは、3.3.1、3.2.6、3.1.14、および3.0.22です。
2、ホットパッチの使用手順に沿って、既存のGitHub Enterprise Serverインスタンスを最新のパッチリリースにアップグレードしてください。この方法では、メンテナンスウィンドウなしでインスタンスをアップグレードできます。

2021年8月13日からGit操作の認証時にアカウントパスワードの受け入れを停止すること、およびGitHub.comで認証済みのGit操作を行う場合は必ず、パーソナルアクセストークン、SSHキー(開発者向け)、またはOAuthやGitHub Appインストールトークン(インテグレーター向け)といった強力な認証要素の使用が必要になりました。

GitHubが取り組むセキュリティの開発ライフサイクルにおいて重要な要素の1つが、GitHubセキュリティバグ報奨金プログラムを通じたセキュリティ研究者やバグ報奨金コミュニティとのパートナーシップです。2014年のプログラム開始以来、このプログラムと研究者たちの貢献によって、GitHubはより安全な製品を提供することができるようになりました。
本ブログでは、7年目を迎えたバグ報奨金プログラムの成果に関する説明に加え、このプログラムで軽減された興味深い脆弱性の詳細や来年に向けた展望をご紹介します。

以前のブログでDevSecOpsの意味と、開発チームのセキュリティのベストプラクティスについて説明しましたが、いくつかのの質問をいただいたので、ショートQ＆Aを設けました。DevSecOpsが開発者にとって重要である理由と、開発者ワークフローへの適用方法についてわかりやすく説明します。

GitHubでの脅威のモデル化を向上させるための主な取り組みの概要は以下のとおりです。

– 脅威のモデル化プロセスを既存の開発ライフサイクルプロセスに統合し、可能であれば自動化する
– 全員が準備を整えた状態で臨む
– STRIDEなど、定義された仕組みを用いてリスク領域を体系的に網羅する
– 具体的なアクションアイテムを持ち帰る
– フォローアップ

ソフトウェアサプライチェーンとは、コードに組み込まれる、またはコードに影響するすべてのものです。サプライチェーンのセキュリティ侵害は現実に起きており、依然としてレアケースではありますが、発生頻度は高くなっています。そのため、サプライチェーンを保護するために最も重要なのは、脆弱性にパッチを適用することです。ソフトウェアサプライチェーンを効果的にセキュリティ保護するために、環境の依存関係を理解し、その依存関係における脆弱性を知り、それらにパッチを適用する必要があります。GitHubネイティブのSCA機能を有効にすることで、依存グラフ、Dependabotアラート、Dependabotセキュリティおよびバージョンアップデートにより、依存関係の管理とパッチ適用の面倒な作業を自動化できます。

Code Scanningでは、どの段階でも開発者のエクスペリエンスが優先されます。その中核にある静的分析エンジン(CoreQL)は高速でパワフルなので、実際のセキュリティの問題をノイズなく検出できます。このエンジンで実行されるクエリは正確かつ構成可能であるうえに、オープンソースコミュニティが常に改良を加えています。結果は、詳細の説明や修正案とともに、インラインのPull Requestコメントに表示されます。すべての構成は、GitHub Actionsのワークフローファイルでコードとして行われます。GitHub.comだけでなく、オプレミス版のGitHub Enterprise Server 3.0でもCode Scanningが使えるようになりました。ぜひ、お試しください。

DevSecOpsは、DevOpsのコンセプトをセキュリティにも適応し、セキュリティプラクティスを開発ライフサイクルの一部として認識して継続的に適用し、その責任をチーム全体で共有するという、考え方の転換です。DevOpsとDevSecOpsの違いは、DevOpsでは、インフラストラクチャを管理していない場合であっても、すべての人がシステムダウンに対する責任を負います。DevSecOpsでは、ソフトウェアの開発に関与していない場合であっても、すべての人が脆弱性に対する責任を負います。