コーディングしながらセキュリティチェックを行えます。開発者のワークフローの中で、正確で実用的なセキュリティレビューを行うことができます。
Pull Requestを使い、コードレビューの一環としてセキュリティの問題を確認し、ソフトウェアに脆弱性が紛れ込むのを防ぎます。
危険性が高く、悪用されやすいセキュリティ上の問題をコードの中から見つけ出します。コードを検査し、深刻な脆弱性の修正を優先的に行なえます。
GitHubやコミュニティが提供する2,000以上のCodeQLクエリを利用するだけでなく、カスタムクエリを作成することでセキュリティ問題の亜種に対応できます。サードパーティのスキャンエンジンを統合し、すべてのセキュリティツールの結果を1つのインターフェースで表示したり、APIで結果をエクスポートしたりできます。
Read
ソフトウェアサプライチェーンを理解し、その依存関係がコードの安全性にどのように影響するかを理解することが需要です。
Pull requestでどの依存関係が変更されたかを簡単に確認でき、安全性を保つことができます。
依存関係にある既知の脆弱性を自動的に監視し、自動化されたPull Requestで、推奨される修正を適用することができます。
GitHubにあるリポジトリを監視し、30以上の主要なシークレット・トークンプロバイダーが発行するトークンを通知します。
GitHubは、GitHubのセキュリティを担保するだけでなく、他の開発者に役立つ機能も提供します。ロールベースのアクセス、監査、パーミッションを設定することで、セキュリティのベスト・プラクティスを実行し、より良い開発プロセスに変えることができます。
ソフトウェアのサプライチェーンへの依存度を理解し、どのように貢献できるかを考えてみませんか?
GitHubのセキュリティコミュニティや Open Source Security Foundation (OpenSSF) との連携
セキュリティ問題を報告したり、セキュリティに関する知識を共有したりして、コミュニティとともに成長しましょう。GitHubや主要なセキュリティ研究者が作成したオープンソースのスキャンクエリに貢献しましょう。
ホワイトペーパー
アプリケーション・セキュリティの現状を詳しく紹介します。
業界スポットライト
DevSecOpsを学び、より安全なコードを書きましょう。
HOW-TO
アプリケーション・セキュリティのよくある落とし穴と、それを回避する方法を紹介します。
オープンソースプロジェクトへの貢献の仕方や、新しいツールの選定方法など、セキュリティニーズはカバーされています。