Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
開発者のためのGitHub Advanced Security入門セキュリティを向上させよう!...
Search
Hirono Baba
July 25, 2023
Technology
1
1.3k
開発者のためのGitHub Advanced Security入門セキュリティを向上させよう!/cndfpre2023-baba
Hirono Baba
July 25, 2023
Tweet
Share
More Decks by Hirono Baba
See All by Hirono Baba
Microsoft MVPになる前、なってから/Fukuoka_Tech_Women_Community_1_baba
nina01
0
310
Azure AI servicesと歯のおはなし/AzureTravelers_Fukuoka2024_baba
nina01
1
190
cloudugnight2nd-20240531
nina01
1
400
Azure犬駆動開発の記録/GlobalAzureFukuoka2024_20240420
nina01
1
410
Azure FunctionsのAOAIバインド機能を試してみる/dotnet2days20240118-baba
nina01
0
180
AzureでWaiting roomをつくる!新米アーキテクトの挑戦記/jazug-for-women-20231215-baba
nina01
1
880
Azure Policyとガバナンスのおはなし/globalazure2023-baba
nina01
0
960
Azure Functionsをサクッと開発、サクッとデプロイ/vscodeconf2023-baba
nina01
2
1.3k
Other Decks in Technology
See All in Technology
AI時代のアジャイルチームを目指して ー スクラムというコンフォートゾーンからの脱却 ー / Toward Agile Teams in the Age of AI
takaking22
11
6.2k
All About Sansan – for New Global Engineers
sansan33
PRO
1
1.3k
Databricks Free Edition講座 データエンジニアリング編
taka_aki
0
2.5k
2025-12-27 Claude CodeでPRレビュー対応を効率化する@機械学習社会実装勉強会第54回
nakamasato
4
1.4k
SES向け、生成AI時代におけるエンジニアリングとセキュリティ
longbowxxx
0
320
#22 CA × atmaCup 3rd 1st Place Solution
yumizu
1
150
ファインディにおけるフロントエンド技術選定の歴史
puku0x
2
1.4k
RALGO : AIを組織に組み込む方法 -アルゴリズム中心組織設計- #RSGT2026 / RALGO: How to Integrate AI into an Organization – Algorithm-Centric Organizational Design
kyonmm
PRO
3
1.1k
善意の活動は、なぜ続かなくなるのか ーふりかえりが"構造を変える判断"になった半年間ー
matsukurou
0
460
戰略轉變:從建構 AI 代理人到發展可擴展的技能生態系統
appleboy
0
190
2025年 山梨の技術コミュニティを振り返る
yuukis
0
160
AI: The stuff that nobody shows you
jnunemaker
PRO
2
160
Featured
See All Featured
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
55k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
97
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.7k
The Curse of the Amulet
leimatthew05
0
7.1k
Context Engineering - Making Every Token Count
addyosmani
9
590
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
230
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.2k
The SEO identity crisis: Don't let AI make you average
varn
0
47
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
40
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
200
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
9
1k
Transcript
開発者のための GitHub Advanced Security入門 セキュリティを向上させよう! 2023/7/25 Cloud Native Days Fukuoka
2023 プレイベント 馬場ひろの Hirono Baba
スピーカーについて ◼ 馬場ひろの ◼ (株)オルターブース所属 ◼ ex歯医者さん ◼ 認定スクラムマスター ◼
AzureやGitHub, .NETがんばって ます @nina-sensei
アジェンダ ◼ 今日話すこと ◼ GHAS(GitHub Advanced Security)とは ◼ Code Scanningについて
◼ Secret Scanningについて ◼ Dependency reviewについて ◼ 対象者 ◼ GHASって何?なひと ◼ 組織でのセキュリティに課題を抱えているひと ◼ GitHubを扱うすべてのひと
開発者として考えなくてはいけない セキュリティのこと 企画 要件 定義 設計 実装 リリース 運用 テスト
◼ 脆弱性に気をつける ◼ コードの脆弱性 ◼ 使用ライブラリ、パッケージの脆弱性 など 誰が どこで 設計、実装の段階からセキュリティを採用すること Shift Left テスト 開発者全員で意識!
None
GitHubはコード管理ツールだけじゃない GitHub Codespaces GitHub Actions GitHub Advanced Security GitHub Copilot
GHAS
GHASとは? ◼ GitHubが提供するセキュリティ機能群の総称 ◼ 一部すべてのプランで使用可能 ◼ プラスの機能を使いたい場合はGHASのライセンスを購入する必要あり ◼ GitHub Enterpriseプランが必要
◼ 主に3つの領域を中心に保護 ◼ サプライチェーン ◼ コード ◼ 環境 ◼ GitHubのプラン Free Team Enterprise ・ ・ ・
GHASの主な機能 Code Scanning Secret Scanning Dependency review (依存関係の確認) Private repository
with GHAS Private repository without GHAS Public repository
Shift security left with developer-first tools Commit changes Submit Pull
Request Update new branch Dependency Scanning: CVEの自動識別と修復 Secret Scanning: 公開されたトークンの検索と 無効化 Code Scanning: コード内の危険なパターンを 発見し警告する 新しいコードがメインブランチに導入される前に、 脆弱性を検出し、修正する
GHASの設定 ◼ Settings > Code security and analisys ◼ リポジトリ単位でも組織レベルでも設定で
きる ◼ 親階層の設定を継承する Enterprise Organizations Repo 各リポジトリ …
Code Scanning
Code Scanningとは ◼ コードを分析して、セキュリティの脆弱性と コーディングエラーを検出ことができる機能 ◼ コード解析エンジン「CodeQL」を利用している ◼ GitHub Actionsを利用して簡単に導入
◼ たくさんの言語がサポートされている ◼ C/C++ ◼ Java ◼ C# ◼ Python ◼ Go ◼ JavaScript ◼ TypeScript ◼ Ruby
セキュアじゃないコードをpushしてみる
Secret Scanning
Secret Scanningとは ◼ push後シークレットを検知したらアラートを出す ◼ GitHub→ユーザー、GitHub→サービスプロバイダーに通知 ◼ あらゆるプロバイダーのシークレットの形式をサポート ◼ カスタムパターンを作成可能
◼ 独自のシークレットを作成している場合に使用 ◼ 2023年2月にすべてのリポジトリで使用可能に!
シークレットをpushしてみる ◼ push後すぐアラートが出現 ◼ メールも届いた(届く設定にしているため) ◼ Security > Secret scanning
からアラートを確認
対処したらアラートはクローズしよう ◼ 対処方法が記載されてる ◼ 対処したらアラートはクローズする ◼ 取り消し ◼ テスト用 ◼
まちがい ◼ 修復しない
シークレットをpushできないようにする Commit changes Submit Pull Request Update new branch Secret
Scanning 新しいコードがメインブランチに導入される前に、 脆弱性を検出し、修正する Push protection ←プライベートリポジトリでは使えない ※2023年7月現在
Push protectionをonにしてpush
Dependency review
依存関係の確認ができるツールたち Dependency graph プロジェクトの依存関係を視覚化 Dependabot alerts コードの依存関係にある脆弱性を通知する Dependabot security updates
発見された脆弱性の修正案のPRを自動作成 Dependabot version updates 使用するパッケージのアップデートのPRを 自動作成 Dependency review PR上で依存関係の変更を視覚化 脆弱性の確認:GitHub Advisory Database GitHub によって脆弱性に関する情報が収集されるところ
Dependabot alerts
Dependabot security updates
Dependabot version updates
マージ前に脆弱性を検知したいなら… Commit changes Submit Pull Request Update new branch Dependency
review Dependabot 新しいコードがメインブランチに導入される前に、 脆弱性を検出し、修正する
Dependency review 脆弱性が検知されたら プルリクエストの段階 ではじかれる name: 'Dependency Review' on: [pull_request]
permissions: contents: read jobs: dependency-review: runs-on: ubuntu-latest steps: - name: 'Checkout Repository' uses: actions/checkout@v3 - name: Dependency Review uses: actions/dependency-review-action@v3 .github/workflowsにワークフローを追加
まとめ ◼ 開発段階でセキュリティを意識する ◼ 全員が脆弱性を意識する ◼ 脆弱性自動検知ツールの導入おすすめ ◼ GHASはいいぞ
nina01
takaking22
sansan33
taka_aki
nakamasato
longbowxxx
yumizu
puku0x
kyonmm
matsukurou
appleboy
yuukis
jnunemaker
aki_iinuma
.png){kind=avatar}
helenjbeal
smashingmag
honnibal
leimatthew05
addyosmani
portentint
kevinliebholz
varn
marketingsoph
tmiket
![Dependency review 脆弱性が検知されたら プルリクエストの段階 ではじかれる name: 'Dependency Review' on: [pull_request]](https://files.speakerdeck.com/presentations/7369a32bac2b4526a55c463e2a73fef8/slide_25.jpg){kind=link}
