「GitHub Universe 2022」セキュリティの機能強化はOSS向けとエンタープライズ向けの2本立て
GitHub Universe 2022から、GitHubが提供するセキュリティに関する全体像について解説したセッションを紹介する。これは「What's next for GitHub's Security Products」と題されたもので、プロダクトマネージメントのVPであるGary Baker氏がMC役として登壇し、その後、複数のセキュリティに関わる責任者が次々と登壇して短めのトピックについて語るというGitHubお得意のスタイルで行われた。
動画は以下から参照されたい。
●動画:What's next for GitHub's security products
セキュリティの3つの柱
Gary Baker氏はGitHubのセキュリティには3つの柱があるとして紹介したのが、シークレットスキャニング、Dependabot、コードスキャニングだ。
そしてその背景として、デベロッパーがアプリケーションにおけるセキュリティの主要な役割を担うべきだし、セキュリティについてGitHubはその役に立てると確信している。そしてセキュリティに関しては一部で終わるのではなく全体を通してスケーラブルに適用できることが大事だからだと語った。
この3つの背景はシークレットスキャニング、Dependabot、そしてコードスキャニングのため解説とも取れるが、シークレットスキャニングとDependabotはオープンソースコミュニティに向けた要点であるのに対し、最後のスケールすることはエンタープライズ向けのメッセージと考えると、このセッションの構成が理解しやすいだろう。セッション全体の前半がオープンソースコミュニティに向けた内容、後半がエンタープライズ内のデベロッパーとその管理業務を行う人に向けた内容になっているのと呼応している。
Baker氏はまず、シークレットスキャニングについて解説を行い、オープンソースコミュニティの開発の中でさまざまなクレデンシャルが公開されているリポジトリー内に保存されていることを説明した。
上記のスライドに示された2019年からの統計グラフを見れば明らかだろう。これはオープンソースコミュニティがリポジトリーとしてGitHubを使う場合に無償になった2008年3月と、MicrosoftがGitHubを買収した2018年6月という2つのマイルストーンを経て、オープンソースを開発するならGitHubという考え方が当たり前になり、これまであまりオープンソースに馴染んでいなかったエンタープライズ企業が社内のコードをオープンソースとしてGitHubで公開するようになったことの影響だろうか。そしてそれを防ぐためにGitHubが開発したのがシークレットスキャニングだ。
依存するライブラリーの脆弱性を検知するDependabot
次に登壇したのはサプライチェインセキュリティ担当のディレクター、Justin Hutchings氏だ。
Hutchings氏は、ソフトウェアを開発する際に必要となる依存関係にあるライブラリーの脆弱性を検知して知らせるDependabotに関するアップデートを行った。ここではDartやYarn、そしてRustへの対応が解説され、GitHubでオープンソースソフトウェアを開発するエンジニアにとっては拡大していくことを示した。
また脆弱性のデータベースであるGitHub Advisory Databaseに関しても多くの脆弱性が発見され、データベースとして公開されたことを示しているが、独立系の脆弱性データベースとしては最大であると説明し、ここでもオープンソースコミュニティにとっては頼りになる存在であることをアピールすることは忘れていない。
Private Vulnerability Reporting
次に登壇したKate Catlin氏はキーノートでも触れられたPrivate Vulnerability Reportingの解説とデモを行った。
ここではオープンソースにおいて脆弱性が発見されたというシナリオを使って、発見したエンジニアは誰にコンタクトしたら良いのかわからない、影響を調査しようとしてもどこまでやれば良いのかわからない、修正する際も発見したエンジニアに対する報告を忘れがちなどの発見から修正、マージまでのプロセスにおいて発生する「問題は見つけたが、修正までのプロセスがわからない」という問題を解説し、それを解消するのがPrivate Vulnerability Reporting機能であると説明した。
明示的にはGitHubの機能として簡単に使えることをデモしているが、暗示的にはオープンソースコミュニティを運営するならソースコードリポジトリーとしてGitHubを使うことが最も良い選択だと強調していると言える。つまり対象となるコミュニティもコミュニティの外のエンジニアもすべてがGitHubという大きな手の上で活動して欲しいという意図を感じる内容だ。
CodeQL
ここまでが主にオープンソースコミュニティに対するメッセージだ。エンタープライズにも適用可能なCodeQLについては開発者でもあるPavel Avgustinov氏が登壇し、ここからはCodeQLの解説が始まった。
CodeQLはソースコードの脆弱性をチェックするための分析エンジンで、CodeQLがチェックした結果がコードスキャニングとしてデベロッパーに提示されることになる。C/C++やC#、Go、Python、Javaなどの言語に対応している。
組織におけるセキュリティ
次にビデオメッセージとして登壇したJennifer Schelkopf氏は、妊娠39週ということでリアルに登壇するのではなく動画によるメッセージとなったが、ここからエンタープライズ向けの内容が始まった。
これまでは個人とコミュニティという対象に向けての解説だったが、ここからは明確にエンタープライズ向けの内容として、組織の中でシークレットスキャニング、Dependabot、コードスキャニングがどれだけ実行されているのかをパーセンテージで表示する機能としてのCoverageページやRiskページ、Remediationページなどが紹介された。つまりデベロッパー個人というよりもその管理職、また全社的なセキュリティ管理者が使う機能としての機能拡張だ。まだベータとして公開されているものが多いが、それでも組織としてソフトウェア開発を行う場合にはこれらの新機能が役に立つことを強調する内容となった。
最後にもう一度、MC役のBaker氏がステージに戻って最初の要点「デベロッパーがアプリケーションにおけるセキュリティの主要な役割を担うべき」「セキュリティについてGitHubは役に立てる」「セキュリティに関してはスケーラブルであることが必要」という3つを繰り返してステージを降りた。
前半のオープンソースコミュニティに向けたメッセージと、後半のエンタープライズ企業に向けたメッセージが上手く融合されたセッションとなった。スピーカーが入れ替わることで飽きさせず、参加者の注意力も削がれない構成に仕上げているのは見事と言える。
連載バックナンバー
Think ITメルマガ会員登録受付中
全文検索エンジンによるおすすめ記事
- 「開発者ファースト」で組織の変革を支援するGitHub (前編)
- GitHub Universe 2022、キーノートで見せた多角的にデベロッパーを支援する機能とは?
- GitHub、ベルリンで発表した新機能などを解説するメディア説明会を開催
- GitHub Universe 2023で、GitHubのCSO、Mike Hanley氏にインタビュー
- クラウドネイティブなCIを目指すCircleCIの未来とは? CEOとカントリーマネージャーに訊いてみた
- オープンソースのセキュリティをスコア化するツール「Scorecards 2.0」リリース
- エンタープライズDB、PostgresとMySQLのデータベースをリンクするオープンソースツールを発表
- OpenSSFを拡大・支援するため1,000万ドルの新規投資を調達、「The 2021 Open Source Jobs Report」を公開、ほか
- GitHub Universe 2023、MSのCEOもサプライズで登壇した初日のキーノートを紹介
- IBMのオープンソースプログラムのトップJeff Borek氏が語るOSSについて(後編)