Upgrade to Pro — share decks privately, control downloads, hide ads and more …

開発者のためのGitHub Advanced Security入門セキュリティを向上させよう!...

Hirono Baba
July 25, 2023
Technology
1
970

開発者のためのGitHub Advanced Security入門セキュリティを向上させよう!/cndfpre2023-baba

Hirono Baba

July 25, 2023
Tweet

More Decks by Hirono Baba

See All by Hirono Baba
Microsoft MVPになる前、なってから/Fukuoka_Tech_Women_Community_1_baba
nina01
0
230
Azure AI servicesと歯のおはなし/AzureTravelers_Fukuoka2024_baba
nina01
1
150
cloudugnight2nd-20240531
nina01
1
280
Azure犬駆動開発の記録/GlobalAzureFukuoka2024_20240420
nina01
1
350
Azure FunctionsのAOAIバインド機能を試してみる/dotnet2days20240118-baba
nina01
0
140
AzureでWaiting roomをつくる!新米アーキテクトの挑戦記/jazug-for-women-20231215-baba
nina01
1
690
Azure Policyとガバナンスのおはなし/globalazure2023-baba
nina01
0
800
Azure Functionsをサクッと開発、サクッとデプロイ/vscodeconf2023-baba
nina01
2
1.1k

Other Decks in Technology

See All in Technology
Developer Summit 2025 [14-D-1] Yuki Hattori
yuhattor
19
6.2k
開発スピードは上がっている…品質はどうする? スピードと品質を両立させるためのプロダクト開発の進め方とは #DevSumi #DevSumiB / Agile And Quality
nihonbuson
2
3k
Building Products in the LLM Era
ymatsuwitter
10
5.5k
ソフトウェアエンジニアと仕事するときに知っておいたほうが良いこと / Key points for working with software engineers
pinkumohikan
0
100
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
6
57k
組織貢献をするフリーランスエンジニアという生き方
n_takehata
2
1.3k
Cloud Spanner 導入で実現した快適な開発と運用について
colopl
1
710
2024.02.19 W&B AIエージェントLT会 / AIエージェントが業務を代行するための計画と実行 / Algomatic 宮脇
smiyawaki0820
14
3.5k
エンジニアのためのドキュメント力基礎講座〜構造化思考から始めよう〜(2025/02/15jbug広島#15発表資料)
yasuoyasuo
18
6.9k
個人開発から公式機能へ: PlaywrightとRailsをつなげた3年の軌跡
yusukeiwaki
11
3k
オブザーバビリティの観点でみるAWS / AWS from observability perspective
ymotongpoo
8
1.5k
Platform Engineeringは自由のめまい
nwiizo
4
2.1k

Featured

See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.1k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
30
2.2k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.3k
What's in a price? How to price your products and services
michaelherold
244
12k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
193
16k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.3k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Practical Orchestrator
shlominoach
186
10k
Code Review Best Practice
trishagee
67
18k
KATA
mclloyd
29
14k
Rebuilding a faster, lazier Slack
samanthasiow
80
8.8k

Transcript

  1. 開発者のための GitHub Advanced Security入門 セキュリティを向上させよう! 2023/7/25 Cloud Native Days Fukuoka

    2023 プレイベント 馬場ひろの Hirono Baba

  2. スピーカーについて ◼ 馬場ひろの ◼ (株)オルターブース所属 ◼ ex歯医者さん ◼ 認定スクラムマスター ◼

    AzureやGitHub, .NETがんばって ます @nina-sensei

  3. アジェンダ ◼ 今日話すこと ◼ GHAS(GitHub Advanced Security)とは ◼ Code Scanningについて

    ◼ Secret Scanningについて ◼ Dependency reviewについて ◼ 対象者 ◼ GHASって何?なひと ◼ 組織でのセキュリティに課題を抱えているひと ◼ GitHubを扱うすべてのひと

  4. 開発者として考えなくてはいけない セキュリティのこと 企画 要件 定義 設計 実装 リリース 運用 テスト

    ◼ 脆弱性に気をつける ◼ コードの脆弱性 ◼ 使用ライブラリ、パッケージの脆弱性 など 誰が どこで 設計、実装の段階からセキュリティを採用すること Shift Left テスト 開発者全員で意識!
  5. None

  6. GitHubはコード管理ツールだけじゃない GitHub Codespaces GitHub Actions GitHub Advanced Security GitHub Copilot

    GHAS

  7. GHASとは? ◼ GitHubが提供するセキュリティ機能群の総称 ◼ 一部すべてのプランで使用可能 ◼ プラスの機能を使いたい場合はGHASのライセンスを購入する必要あり ◼ GitHub Enterpriseプランが必要

    ◼ 主に3つの領域を中心に保護 ◼ サプライチェーン ◼ コード ◼ 環境 ◼ GitHubのプラン Free Team Enterprise ・ ・ ・

  8. GHASの主な機能 Code Scanning Secret Scanning Dependency review (依存関係の確認) Private repository

    with GHAS Private repository without GHAS Public repository

  9. Shift security left with developer-first tools Commit changes Submit Pull

    Request Update new branch Dependency Scanning: CVEの自動識別と修復 Secret Scanning: 公開されたトークンの検索と 無効化 Code Scanning: コード内の危険なパターンを 発見し警告する 新しいコードがメインブランチに導入される前に、 脆弱性を検出し、修正する

  10. GHASの設定 ◼ Settings > Code security and analisys ◼ リポジトリ単位でも組織レベルでも設定で

    きる ◼ 親階層の設定を継承する Enterprise Organizations Repo 各リポジトリ …

  11. Code Scanning

  12. Code Scanningとは ◼ コードを分析して、セキュリティの脆弱性と コーディングエラーを検出ことができる機能 ◼ コード解析エンジン「CodeQL」を利用している ◼ GitHub Actionsを利用して簡単に導入

    ◼ たくさんの言語がサポートされている ◼ C/C++ ◼ Java ◼ C# ◼ Python ◼ Go ◼ JavaScript ◼ TypeScript ◼ Ruby

  13. セキュアじゃないコードをpushしてみる

  14. Secret Scanning

  15. Secret Scanningとは ◼ push後シークレットを検知したらアラートを出す ◼ GitHub→ユーザー、GitHub→サービスプロバイダーに通知 ◼ あらゆるプロバイダーのシークレットの形式をサポート ◼ カスタムパターンを作成可能

    ◼ 独自のシークレットを作成している場合に使用 ◼ 2023年2月にすべてのリポジトリで使用可能に!

  16. シークレットをpushしてみる ◼ push後すぐアラートが出現 ◼ メールも届いた(届く設定にしているため) ◼ Security > Secret scanning

    からアラートを確認

  17. 対処したらアラートはクローズしよう ◼ 対処方法が記載されてる ◼ 対処したらアラートはクローズする ◼ 取り消し ◼ テスト用 ◼

    まちがい ◼ 修復しない

  18. シークレットをpushできないようにする Commit changes Submit Pull Request Update new branch Secret

    Scanning 新しいコードがメインブランチに導入される前に、 脆弱性を検出し、修正する Push protection ←プライベートリポジトリでは使えない ※2023年7月現在

  19. Push protectionをonにしてpush

  20. Dependency review

  21. 依存関係の確認ができるツールたち Dependency graph プロジェクトの依存関係を視覚化 Dependabot alerts コードの依存関係にある脆弱性を通知する Dependabot security updates

    発見された脆弱性の修正案のPRを自動作成 Dependabot version updates 使用するパッケージのアップデートのPRを 自動作成 Dependency review PR上で依存関係の変更を視覚化 脆弱性の確認:GitHub Advisory Database GitHub によって脆弱性に関する情報が収集されるところ

  22. Dependabot alerts

  23. Dependabot security updates

  24. Dependabot version updates

  25. マージ前に脆弱性を検知したいなら… Commit changes Submit Pull Request Update new branch Dependency

    review Dependabot 新しいコードがメインブランチに導入される前に、 脆弱性を検出し、修正する

  26. Dependency review 脆弱性が検知されたら プルリクエストの段階 ではじかれる name: 'Dependency Review' on: [pull_request]

    permissions: contents: read jobs: dependency-review: runs-on: ubuntu-latest steps: - name: 'Checkout Repository' uses: actions/checkout@v3 - name: Dependency Review uses: actions/dependency-review-action@v3 .github/workflowsにワークフローを追加

  27. まとめ ◼ 開発段階でセキュリティを意識する ◼ 全員が脆弱性を意識する ◼ 脆弱性自動検知ツールの導入おすすめ ◼ GHASはいいぞ