GitHub、エンタープライズ向けのイベントを国内で開催。企業向けに新機能を紹介
GitHubの日本法人であるギットハブ・ジャパン合同会社は、GitHub Universe 2019で発表された内容を凝縮して解説するイベント「GitHub Enterprise Roadshow」を2019年12月3日に都内で開催した。GitHub Universeがグローバルなカンファレンスだとすれば、GitHub Enterprise RoadshowはUniverseに参加できなかった日本のエンタープライズ企業に向けたものという位置づけだ。これに合わせてGitHub Universeでも登壇したVP of EngineeringのDana Lawson氏、営業サイドのスピーカーとしてVP of Field ServicesのMatthew McCullough氏が来日し、新サービスについて解説を行った。
参加者からの質問に答えるLawson氏(左)とMcCullough氏(右)
セッションの内容はUniverseで発表された内容をまとめたもので、他にも富士通のユースケースが紹介されるなど、半日のミニカンファレンスとしては充実した内容となった。
エンタープライズ企業向けということでUniverseで紹介されたArctic Code Vaultの説明は省かれた一方、セキュリティにフォーカスしたセッションが追加されていた。ギットハブ・ジャパンが考える「企業が必要としている情報とは何か?」を感じ取れる内容となった。
GitHubの新機能の一部を紹介
また日本に関連する統計情報を元に、日本でのGitHubの利用が拡大していることを強調した。
日本でマージされたPull Requestの数を紹介
特に日本でのユーザーが100万人を超えたこと、アジアで3番目に大きいユーザーベースであることなどが紹介され、日本でもGitHubの利用が確実に拡大していることをアピールした。
日本のGitHubユーザーは100万人以上
またセキュリティの観点から、オープンソースソフトウェアに依存している他のソフトウェアの数が紹介され、多くのソフトウェアが依存関係の上に成り立っていることを解説。ここでは脆弱性やバージョン間の互換性が依存関係によって影響が拡がってしまうことを示唆している。もはやソフトウェアを利用するだけのエンタープライズ企業においても、自社が利用するソフトウェアがどういう依存関係を持っているのかを十分理解する必要があり、そうしない場合には不必要なリスクを背負うことを示している。
多くのソフトウェアが依存関係の上に成り立っている
そしてセキュリティを高める機能の一つとして、リポジトリー上にユーザークレデンシャルを保存してしまうというケースに対する「トークンスキャンニング」機能を紹介した。これはデベロッパーがクレデンシャルを保存した場合に、それを検知して注意を促すというもので、各パブリッククラウドプロバイダー、Webサービスを提供するベンダーが使うさまざまなクレデンシャルをそれぞれ認識して、それがパブリックなリポジトリーに保存されていることの危険性を喚起する機能になる。
トークンスキャンニングの自動化
トークンスキャンニングの対象となるサービスの例
また脆弱性のあるコードをソースコードから検知する機能としてCodeQL、日本語ではセマンティックコードエンジンと題された機能も紹介された。これはSemmleの持っていたソフトウェアを使った新機能で、脆弱性を発生させてしまうコードとその亜種を自社が開発するソフトウェアの中に存在するのかを検知するというものだ。GitHub Universeではデモとしても紹介されており、非常に高速に類似したコードを検索できることが、プレゼンテーションの中でも示されていた。またこの機能はCIのプロセスの中に組み込むことで、脆弱性のチェックを自動化できるという。
CodeQLの紹介
このコードの中に脆弱性があるかを検索する機能は、GitHubが2019年9月に買収を発表したSemmleのLGTM(LGTMはLooking Good to meの略でオープンソースソフトウェアのコードレビューのコメントとして良く用いられる略語のひとつ)というサイトで実装されているものであり、これをGitHubのサービスとして提供するものだ。特徴的なのは、検索のクエリーをデベロッパーが新たに作ることができる部分で、この部分にベンダーだけではなくユーザーコミュニティからの貢献が活かされることであろう。
またGitHubは、Security Labというセキュリティを専門的に扱う部門を創設したことを紹介した。同時にバグを発見した際の報奨金制度、CodeQLに対して新たなクエリーを作るなどの貢献を行った際の報奨金制度が始まることも紹介された。
今回のイベントの中で印象的だったのは、セッション後の質疑応答の部分に、従来の「挙手をして口頭で質問をする」という形式ではなくオンラインで質問を投稿する仕組みが採用されていたことだろう。
参加者からの質問は即座に共有され回答されていた
このシステムの良いところは、口頭による質問時間が省かれ無駄がないこと、記録に残ること、「いいね!」の数で質問に対する興味が可視化されることなどが挙げられる。そして何よりもGitHub自体が、ソフトウェアリポジトリーと言うだけではなくコミュニケーション、コラボレーションのためのプラットフォームであるという意識を強く持っている結果ではないだろうか。
日本のエンジニアは、セッション後に参加者の前に立ち、マイクに向かって質問を行うという場面が得意ではないことが多く、終了後にプレゼンターに個別に質問をする傾向にある。この仕組みであれば、セッションの途中でも思いついた質問をメモのように残していくことが可能であり、また他の参加者とも共有ができるため、その他のIT系カンファレンスでもぜひ採用して欲しい仕組みだと強く感じた。
なお、セッション後のメディア向け質疑応答では、Arctic Code Vaultを紹介しなかった理由として「日本のエンタープライズ企業が最も関心のあるトピックに限定した結果である」という回答を得た。ここでも、今回の主な参加者である企業ユーザーを最優先した内容になっていることを示したと言える。
