すべての開発プロセスをセキュアに
よりセキュアなコードのリリースは、開発の最終段階でセキュリティチェックを行うのではなく、初期段階から対策を行える開発プロセスを構築することと、開発者がセキュリティの修正を行いやすい環境を整えることが重要です。本ブログでは、GitHubのセキュリティ担当プロダクトマネージャーのMaya Kaczorowskiが依存関係について詳しく説明し、依存関係を最新の状態に保つべき理由と、最も重要なときに迅速かつ確実にパッチを適用できるようにする方法を説明します。
よりセキュアなコードのリリースは、開発の最終段階でセキュリティチェックを行うのではなく、初期段階から対策を行える開発プロセスを構築することと、開発者がセキュリティの修正を行いやすい環境を整えることが重要です。本ブログでは、GitHubのセキュリティ担当プロダクトマネージャーのMaya Kaczorowskiが依存関係について詳しく説明し、依存関係を最新の状態に保つべき理由と、最も重要なときに迅速かつ確実にパッチを適用できるようにする方法を説明します。
今日のソフトウェア開発はオープンソースなくして進めることは不可能に近い一方で、多くの企業がオープンソースやオープンソースの依存関係に関するセキュリティ対策を難しいと感じています。オープンソースのCVEの管理、オープンソースソフトウェア(OSS)ライセンスの遵守、または使用中の依存関係バージョンの追跡を行うだけで、多くの時間を浪費するだけでなく、セキュリティチームが脆弱なOSSコードのリスクを手動で管理しなければならないこともあります。
GitHubの依存関係インサイトなら、オープンソースの依存関係の概要をひと目で把握でき、こうした課題を解決することができます。
GitHub Enterprise Server 3.0が正式にリリースされました。GitHub Universeのキーノートセッションでリリース候補として紹介されたGitHub Enterprise Serverは、かつてないほど大きな変更が加えられ、GitHub Actions、GitHub Packagesやソースコードの強力なシークレットスキャンツールを、GitHub Enterprise Serverで使用できるようになりました。
GitHub Enterpriseのセキュリティ機能を活用することで開発環境におけるセキュリティレベルを上げることが可能ですが、システムだけでセキュリティを担保することはできません。
各企業において、公共の場所ではパソコンのスクリーンにカバーをして画面の閲覧ができないようにする、ソースコードを許可なく持ち出したり、外部サイトに投稿しないようにするなど、ソフトウェア開発部門のセキュリティトレーニングの実施を行い、意図しない情報漏えいを防ぐことも必要です。
GitHub Pages では、アクセスを制限して、そのページを公開したリポジトリへのアクセス権を持つユーザーだけがサイトを閲覧できるようにするオプションが追加されました。アクセス制御により、GitHub Pages を使って社内のドキュメントやナレッジを特定のユーザーだけに公開したり、企業内だけで共有したりすることができます。
GitHub Enterprise Server 3.0 RC版(リリース候補)として公開したので紹介します。
GitHub Actions – 開発者優先のワークフロー自動化とCI/CD
GitHub Packages – コードと一緒にパッケージを発行して使用
GitHub for mobile (ベータ版) – モバイルデバイスからでも共同作業ができるiOS/Androidアプリ
また、コードセキュリティの自動化を実現するGitHub Advanced Securityにも対応します。
コードスキャン – すべてのPull RequestをCodeQLでスキャンし、既知の脆弱性を検出
シークレットスキャン(ベータ版) – プロダクション環境に公開すべきでないにコード内のクレデンシャルを検出
本バージョンアップでは、Enterprise Server を完全に再設計し、最新のコンテナ化されたプラットフォームを構築することで、より柔軟な管理とスケーラビリティの向上を実現しました。
Git cloneにはいくつかの選択肢がありますが、実際に Git のパフォーマンスにどのような影響を与えるのでしょうか?あなたのクライアントではどの選択肢が一番速いのでしょうか?あなたのビルドマシンではどの選択肢が一番速いのでしょうか?これらの選択肢はサーバーのパフォーマンスにどのような影響を与えるのでしょうか?異なるクローンオプションとフェッチオプションの間で、いくつかのパフォーマンスの変化があることを説明します。
Git のリポジトリが大きくなると、新しい開発者がクローンして作業を始めるのが難しくなります。Git は 分散 バージョン管理システムとして設計されています。つまり、リポジトリとのやりとりを管理する中央サーバーに接続しなくても、自分のマシンで作業ができるということです。これが完全に実現できるのは、すべての到達可能なデータがローカルリポジトリにある場合だけです。