プレスリリース
安全なソフトウェアを開発、拡張、提供するためにAIを搭載した世界最大の開発者プラットフォームを提供するGitHub, Inc.(本社:米国サンフランシスコ)は、2023年9月20日(米国時間)に、GitHub Advanced Security for Azure DevOpsの一般提供(GA)を開始したことを発表しました。これにより、シークレットスキャン、依存関係スキャン、コード スキャンを、Azure DevOpsの構成設定で直接有効化が可能になります。
[画像1]https://user.pr-automation.jp/simg/1306/77689/700_368_2023101215032465278c2c2d9cf.png
現在の世界は、ソフトウェアが無ければ成立しません。IDC(https://www.idc.com/getdoc.jsp?containerId=prUS49760222
)は、2025年までに全世界で約7億5,000万本のアプリケーションが出荷されると予想しています。これは、デジタルに対する信頼がかつてないほど重要になっている時代において、世界中のソフトウェアを保護するという離れ業がかつてないスピードで進んでいることを意味しています。GitHubは、開発者がソフトウェアを作り出すだけでなく、安全な製品として出荷できるよう尽力しています。GitHub Advanced Security (GHAS)は、コンテキスト切り替えを最小限に抑え、ツールを減らし、イノベーションと同じスピードで脆弱性を迅速に発見し、修正できるようにするものです。GitHubのアプリケーションセキュリティテストソリューションは、開発者のワークフローにネイティブに組み込まれており、DevSecOpsチームがセキュリティを犠牲にすることなく、イノベーションを優先して開発者の生産性を向上を支援するものです。
GitHubのネイティブSASTソリューションであるコード スキャンは、適切なアラートを適切なタイミングで表示します。セキュリティアラートがトリガーされると、Pull Requestに追加して表示されます。これは、スキャンが完了したときに具体的なコンテキストのない、長いアラートリストが生成される従来のSASTツールとは異なります。このアプローチでは、ユーザーはコード スキャンによって表示されたアラートの約80%に対処し、50%というリアルタイムでの修正率を実現しています。これは、エンゲージメント率が約16%、修正率が約13%のサードパーティのアラートと比べて3.8倍効果的と言えます。
このたび一般提供(GA)を開始したGitHub Advanced Security for Azure DevOpsは、GHASのネイティブなセキュリティ機能をAzure DevOpsのワークフローに組み込めるものです。これにより、Azure DevOpsユーザーにもGitHub Enterpriseユーザーと同じメリットがもたらされます。Azure DevOpsのプロジェクトコレクション管理者(PCA)(https://learn.microsoft.com/en-us/azure/devops/organizations/security/look-up-project-collection-administrators?view=azure-devops
)が、Azure DevOpsの構成設定(https://learn.microsoft.com/en-us/azure/devops/repos/security/configure-github-advanced-security-features
)からGitHub Advanced Securityによる保護を有効にするだけで即座に利用を開始できます。
セキュリティプログラムの迅速な導入と拡張
GitHub Advanced Securityの一般提供(GA)に伴い、GitHub Advanced Securityを迅速に有効化して、Oraganizationのリポジトリを保護するための新機能が追加されました。また、GHASをOranizationまたはプロジェクトレベルで有効にするのか、個々のリポジトリで有効にするのかを選択できます。これにより、GHASを必要なときに必要な場所へ速やかに導入することが可能になります。
GitHub Advanced Security for Azure DevOpsを有効にすると、有料であることを警告するメッセージが表示され、コミッター数の見積もりが表示されます。
[画像2]https://user.pr-automation.jp/simg/1306/77689/700_472_2023101215052765278ca76fadd.png
また、今後作成されるリポジトリに対して自動的にGitHub Advanced Securityを有効にすることも選択可能になりました。
[画像3]https://user.pr-automation.jp/simg/1306/77689/700_425_2023101215063565278cebe440f.png
すべてのアラートを単一の画面で確認
成功するアプリケーションセキュリティプログラムにとって重要なのが、Organization全体にわたるすべてのアラートを単一の画面で確認できることです。これにより、アプリケーションセキュリティの状況を最大限に把握できます。GitHubはこの極めて重要な機能を採用し、Microsoft Defender for Cloud (MDC)(https://azure.microsoft.com/en-us/products/defender-for-cloud
)との連携の下に構築しました。MDC内でAzureリポジトリ全体のGitHub Advanced Securityアラートをすべて表示できるだけでなく、GitHubからもアラートを確認できるようになりました。この機能はMDCを無料で利用できるため、どのチームでもこの強力な統合を活用できます。
GitHub Advanced Security for Azure DevOpsの利用方法
GitHub Advanced Security for Azure DevOpsのご利用に関心のある方は、GitHubのドキュメント(https://learn.microsoft.com/en-us/azure/devops/repos/security/configure-github-advanced-security-features
)をご覧ください。
GitHub Blog
英語:
https://github.blog/2023-09-20-announcing-general-availability-of-github-advanced-security-for-azure-devops/
日本語:
https://github.blog/jp/2023-10-13-announcing-general-availability-of-github-advanced-security-for-azure-devops/
GitHubに関する情報は、こちらからもご覧いただけます。
Blog: (英語) https://github.blog
(日本語) https://github.blog/jp
Twitter: (英語) @github( https://twitter.com/github
)
(日本語) @GitHubJapan( https://twitter.com/githubjapan
)
【GitHub について】https://github.co.jp
GitHubは、すべての開発者のためのグローバルホームとして、安全なソフトウェアの開発拡張、提供するための統合開発者プラットフォームです。フォーチュン100に名を連ねる企業のうち90社に所属する開発者を含む1億人以上がGitHubを利用し、3億3千万以上のリポジトリから、社会に素晴らしいものを創造し送り出しています。GitHubが提供するすべてのコラボレーション機能は、個人やチームがこれまでよりも迅速に、さらに高品質なコーディングをかつてないほどに容易にしています。