連載 [第7回] :
  GitHub Universe 2019レポート

GitHub、エンタープライズ向けのイベントを国内で開催。企業向けに新機能を紹介

2020年2月17日(月)
松下 康之 - Yasuyuki Matsushita
GitHub Universe 2019の内容を受けて、GitHubはエンタープライズ企業向けのミニカンファレンスを東京で開催した。

GitHubの日本法人であるギットハブ・ジャパン合同会社は、GitHub Universe 2019で発表された内容を凝縮して解説するイベント「GitHub Enterprise Roadshow」を2019年12月3日に都内で開催した。GitHub Universeがグローバルなカンファレンスだとすれば、GitHub Enterprise RoadshowはUniverseに参加できなかった日本のエンタープライズ企業に向けたものという位置づけだ。これに合わせてGitHub Universeでも登壇したVP of EngineeringのDana Lawson氏、営業サイドのスピーカーとしてVP of Field ServicesのMatthew McCullough氏が来日し、新サービスについて解説を行った。

参加者からの質問に答えるLawson氏(左)とMcCullough氏(右)

参加者からの質問に答えるLawson氏(左)とMcCullough氏(右)

セッションの内容はUniverseで発表された内容をまとめたもので、他にも富士通のユースケースが紹介されるなど、半日のミニカンファレンスとしては充実した内容となった。

エンタープライズ企業向けということでUniverseで紹介されたArctic Code Vaultの説明は省かれた一方、セキュリティにフォーカスしたセッションが追加されていた。ギットハブ・ジャパンが考える「企業が必要としている情報とは何か?」を感じ取れる内容となった。

GitHubの新機能の一部を紹介

GitHubの新機能の一部を紹介

また日本に関連する統計情報を元に、日本でのGitHubの利用が拡大していることを強調した。

日本でマージされたPull Requestの数を紹介

日本でマージされたPull Requestの数を紹介

特に日本でのユーザーが100万人を超えたこと、アジアで3番目に大きいユーザーベースであることなどが紹介され、日本でもGitHubの利用が確実に拡大していることをアピールした。

日本のGitHubユーザーは100万人以上

日本のGitHubユーザーは100万人以上

またセキュリティの観点から、オープンソースソフトウェアに依存している他のソフトウェアの数が紹介され、多くのソフトウェアが依存関係の上に成り立っていることを解説。ここでは脆弱性やバージョン間の互換性が依存関係によって影響が拡がってしまうことを示唆している。もはやソフトウェアを利用するだけのエンタープライズ企業においても、自社が利用するソフトウェアがどういう依存関係を持っているのかを十分理解する必要があり、そうしない場合には不必要なリスクを背負うことを示している。

多くのソフトウェアが依存関係の上に成り立っている

多くのソフトウェアが依存関係の上に成り立っている

そしてセキュリティを高める機能の一つとして、リポジトリー上にユーザークレデンシャルを保存してしまうというケースに対する「トークンスキャンニング」機能を紹介した。これはデベロッパーがクレデンシャルを保存した場合に、それを検知して注意を促すというもので、各パブリッククラウドプロバイダー、Webサービスを提供するベンダーが使うさまざまなクレデンシャルをそれぞれ認識して、それがパブリックなリポジトリーに保存されていることの危険性を喚起する機能になる。

トークンスキャンニングの自動化

トークンスキャンニングの自動化

トークンスキャンニングの対象となるサービスの例

トークンスキャンニングの対象となるサービスの例

また脆弱性のあるコードをソースコードから検知する機能としてCodeQL、日本語ではセマンティックコードエンジンと題された機能も紹介された。これはSemmleの持っていたソフトウェアを使った新機能で、脆弱性を発生させてしまうコードとその亜種を自社が開発するソフトウェアの中に存在するのかを検知するというものだ。GitHub Universeではデモとしても紹介されており、非常に高速に類似したコードを検索できることが、プレゼンテーションの中でも示されていた。またこの機能はCIのプロセスの中に組み込むことで、脆弱性のチェックを自動化できるという。

CodeQLの紹介

CodeQLの紹介

このコードの中に脆弱性があるかを検索する機能は、GitHubが2019年9月に買収を発表したSemmleのLGTM(LGTMはLooking Good to meの略でオープンソースソフトウェアのコードレビューのコメントとして良く用いられる略語のひとつ)というサイトで実装されているものであり、これをGitHubのサービスとして提供するものだ。特徴的なのは、検索のクエリーをデベロッパーが新たに作ることができる部分で、この部分にベンダーだけではなくユーザーコミュニティからの貢献が活かされることであろう。

参考:https://lgtm.com/

またGitHubは、Security Labというセキュリティを専門的に扱う部門を創設したことを紹介した。同時にバグを発見した際の報奨金制度、CodeQLに対して新たなクエリーを作るなどの貢献を行った際の報奨金制度が始まることも紹介された。

参考:GitHub Security Lab

今回のイベントの中で印象的だったのは、セッション後の質疑応答の部分に、従来の「挙手をして口頭で質問をする」という形式ではなくオンラインで質問を投稿する仕組みが採用されていたことだろう。

参加者からの質問は即座に共有され回答されていた

参加者からの質問は即座に共有され回答されていた

このシステムの良いところは、口頭による質問時間が省かれ無駄がないこと、記録に残ること、「いいね!」の数で質問に対する興味が可視化されることなどが挙げられる。そして何よりもGitHub自体が、ソフトウェアリポジトリーと言うだけではなくコミュニケーション、コラボレーションのためのプラットフォームであるという意識を強く持っている結果ではないだろうか。

日本のエンジニアは、セッション後に参加者の前に立ち、マイクに向かって質問を行うという場面が得意ではないことが多く、終了後にプレゼンターに個別に質問をする傾向にある。この仕組みであれば、セッションの途中でも思いついた質問をメモのように残していくことが可能であり、また他の参加者とも共有ができるため、その他のIT系カンファレンスでもぜひ採用して欲しい仕組みだと強く感じた。

なお、セッション後のメディア向け質疑応答では、Arctic Code Vaultを紹介しなかった理由として「日本のエンタープライズ企業が最も関心のあるトピックに限定した結果である」という回答を得た。ここでも、今回の主な参加者である企業ユーザーを最優先した内容になっていることを示したと言える。

著者
松下 康之 - Yasuyuki Matsushita
フリーランスライター&マーケティングスペシャリスト。DEC、マイクロソフト、アドビ、レノボなどでのマーケティング、ビジネス誌の編集委員などを経てICT関連のトピックを追うライターに。オープンソースとセキュリティが最近の興味の中心。

連載バックナンバー

開発ツールイベント
第7回

GitHub、エンタープライズ向けのイベントを国内で開催。企業向けに新機能を紹介

2020/2/17
GitHub Universe 2019の内容を受けて、GitHubはエンタープライズ企業向けのミニカンファレンスを東京で開催した。
開発ツールインタビュー
第6回

GitHub Universeでエンジニアリングのトップに訊いたベビーシッティングしない組織運営

2020/2/14
今回は、GitHub Universeでエンジニアリング部門のトップであるDana Lawson氏へのインタビューをお届けする。
開発ツールインタビュー
第5回

GitHub Universeで発表されたGitHub Desktopの最新バージョンとは?

2020/2/13
GitHub Universeで発表されたGitHub Desktopの新バージョンについて、開発責任者にインタビューを行った。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています