Lock in $30 Savings on PRO—Offer Ends Soon! ⏳
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GitHub と Azure でアプリケーションとインフラストラクチャの守りを固めるDevSe...
Search
Kazumi OHIRA
June 05, 2023
Technology
1
270
GitHub と Azure でアプリケーションとインフラストラクチャの守りを固めるDevSecOps
「開発を加速するGitHub x Azure 最新開発ベストプラクティス vol.3」でお話した資料です。
Kazumi OHIRA
June 05, 2023
Tweet
Share
More Decks by Kazumi OHIRA
See All by Kazumi OHIRA
【再】#2 GitHub Copilot Enterprise&GitHub Actionsナレッジ オープニング資料
dzeyelid
0
120
GitHub最新情報キャッチアップ 2024年3月
dzeyelid
17
5.8k
GitHub dockyardコミュニティ 竣工イベント!オープニング資料
dzeyelid
0
330
地味だけど劇的に便利になるGitHubリポジトリ設定あれこれ
dzeyelid
1
2.7k
GitHub最新情報キャッチアップ 2023年6月
dzeyelid
2
3.5k
高さ比べじゃない、キャリアは歩んできた道
dzeyelid
0
610
GitHub Copilotとともに次の開発体験へ
dzeyelid
1
420
突如登場したAzure Developer CLIでなにができるのか?検証してみる
dzeyelid
0
150
GitHub Actions と Azure PaaS でプルリクエストごとに環境を ~ Azure Static Web Apps と Container Apps
dzeyelid
0
220
Other Decks in Technology
See All in Technology
生成AI時代の自動E2Eテスト運用とPlaywright実践知_引持力哉
legalontechnologies
PRO
0
210
プロダクトマネージャーが押さえておくべき、ソフトウェア資産とAIエージェント投資効果 / pmconf2025
i35_267
2
590
“決まらない”NSM設計への処方箋 〜ビットキーにおける現実的な指標デザイン事例〜 / A Prescription for "Stuck" NSM Design: Bitkey’s Practical Case Study
bitkey
PRO
1
580
EM歴1年10ヶ月のぼくがぶち当たった苦悩とこれからへ向けて
maaaato
0
270
Kubernetes Multi-tenancy: Principles and Practices for Large Scale Internal Platforms
hhiroshell
0
110
ガバメントクラウド利用システムのライフサイクルについて
techniczna
0
180
LLM-Readyなデータ基盤を高速に構築するためのアジャイルデータモデリングの実例
kashira
0
210
AI時代の開発フローとともに気を付けたいこと
kkamegawa
0
2.2k
バグハンター視点によるサプライチェーンの脆弱性
scgajge12
3
1k
エンジニアリングマネージャー はじめての目標設定と評価
halkt
0
250
AI活用によるPRレビュー改善の歩み ― 社内全体に広がる学びと実践
lycorptech_jp
PRO
1
190
pmconf2025 - データを活用し「価値」へ繋げる
glorypulse
0
700
Featured
See All Featured
How STYLIGHT went responsive
nonsquared
100
6k
Making Projects Easy
brettharned
120
6.5k
Site-Speed That Sticks
csswizardry
13
990
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
130k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.3k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
jQuery: Nuts, Bolts and Bling
dougneiner
65
8.2k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.3k
Bash Introduction
62gerente
615
210k
[RailsConf 2023] Rails as a piece of cake
palkan
58
6.1k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
3.2k
GraphQLの誤解/rethinking-graphql
sonatard
73
11k
Transcript
GitHub と Azure でアプリ ケーションとインフラストラクチャ の守りを固める DevSecOps 開発を加速するGitHub x Azure
最新開発ベストプラクティス vol.3
岩永かづみ / Kazumi IWANAGA • Microsoft MVP for Azure •
ZEN Architects 所属 • GitHub公認トレーナー • 得意な領域 • Infrastructure as Code • GitHub Actions による自動化 • 技術コミュニティ • Code Polaris / Hack Everything. • @dz_ • @dzeyelid • @dzeyelid • dzeyelid
ぶっちゃけ、セキュリティに割いて いる時間はないの。
シフトレフトで早めにセキュリティに対応することが有用なのは、 めちゃくちゃ賛同! だけど、その時間がないんだよなぁ~
セキュリティのための時間とお金 時間 お金
GitHub 使ってますか?
GitHub 使ってますか? GitHub ですぐできるセキュリティ対策、 教えちゃいます
GitHub でできるセキュリティ対策 Code scanning プルリクエスト Dependabot GitHub Actions Secret scanning
Secret scanning デフォルトブランチ 作業ブランチ push push
参考 • GitHub セキュリティを備えた DevSecOps - Azure Architecture Center |
Microsoft Learn • コードとしてのインフラストラクチャ (IaC) 向け DevSecOps - Azure Architecture Center | Microsoft Learn
GitHubで始める ゼロ"コスト" セキュリティ対策 Dependabot
Dependabot GitHubで始める ゼロ"コスト" セキュリティ対策
Dependabot Code scanning プルリクエスト Dependabot GitHub Actions Secret scanning Secret
scanning デフォルトブランチ 作業ブランチ push push
Dependabot は無料ですぐ使える • 依存関係のスキャン、脆弱性の検出を行う • パブリック、プライベートリポジトリで無料で使える • 検出の対象は、デフォルトブランチ
Dependabot 関連機能一覧 機能(無料で使える) 説明 Dependency graph 依存関係の一覧を表示する Dependabot alerts 依存関係の中に脆弱性を検出した場合、通知する
Dependabot security updates 検出された脆弱性のある依存関係を対処するための提案を行う(プルリ クエストが作成される) Dependabot version updates 依存関係のうち、新しいバージョンがあれば通知し、提案を行う(プルリク エストが作成される) 機能(※) 説明 Dependency review 依存関係をスキャンし、脆弱性を検出する機能が GitHub Actions の アクションとして提供されている = デフォルトブランチにマージする前に脆弱性を検出できる ※ パブリックリポジトリ、または GitHub Advanced Security(GHAS) が適用されたプライベートリポジトリでしか利用できない
Dependabot デモ • Dependency graph を確認してみる • Dependabot alerts, security
updates の有効化 • Dependebot alerts を確認してみる • Dependabot security updates によるプルリクエストを確認して みる • Dependabot version updates の有効化、設定
Dependabot 参考 • サプライ チェーンのセキュリティについて - GitHub Docs • 依存関係グラフについて
- GitHub Docs • Dependabot アラートについて - GitHub Docs • Dependabot のセキュリティ アップデート - GitHub Docs • GitHub Dependabot のバージョンアップデートについて - GitHub Docs • 依存関係レビューの構成 - GitHub Docs
GitHubで始める ゼロ"タイム" セキュリティ対策 Secret scanning, Code scanning: CodeQL
Secret scanning GitHubで始める ゼロ"タイム" セキュリティ対策
Secret scanning Code scanning プルリクエスト Dependabot GitHub Actions Secret scanning
Secret scanning デフォルトブランチ 作業ブランチ push push
Secret scanning(パブリックリポジトリ) • パートナープログラムで提供されているシークレットパターンが検出さ れる • シークレットが検出されると、そのパートナーに通知され、シークレット の無効化などが対応される • リポジトリ管理者への通知は設定で有効化できる
• 検出の契機は、push 時(どのブランチでも) • パブリックリポジトリの場合は無料で利用できる
Secret scanning 機能一覧 パブリックリポジトリ プライベートリポジトリ プライベートリポジトリ (GHASあり) パートナーへの通知(防御実施) 必ず行われる 利用不可
有効 or 無効 GitHub上での通知表示 有効 or 無効 利用不可 有効 or 無効 Push protection 利用不可 利用不可 有効 or 無効 カスタムパターン 利用不可 利用不可 追加できる(最大100) ※ GHAS = GitHub Advanced Security
Secret scanning(GHASあり) • プライベートリポジトリで Secret scanning を利用したい場合は、 GHAS が必要 •
パブリックリポジトリでできることに加え、Push protectionやカスタ ムパターンによる検出を行える
Secret scanning(GHASあり) Code scanning プルリクエスト Dependabot GitHub Actions Secret scanning
Secret scanning デフォルトブランチ 作業ブランチ push push Push protection
Secret scanning - Push protection
Secret scanning デモ • Secret scanning alerts を確認してみる • パブリックリポジトリでの設定
• GitHub Enterprise 配下の設定
Secret scanning 参考 • シークレット スキャンについて - GitHub Docs •
secret scanning パターン - GitHub Docs • Secret scanning partner program - GitHub Docs • シークレット スキャンによるプッシュの保護 - GitHub Enterprise Cloud Docs(GitHub Enterprise) • シークレット スキャンのカスタム パターンの定義 - GitHub Enterprise Cloud Docs(GitHub Enterprise)
Code scanning GitHubで始める ゼロ"タイム" セキュリティ対策
GitHub でできるセキュリティ対策 Code scanning プルリクエスト Dependabot GitHub Actions Secret scanning
Secret scanning デフォルトブランチ 作業ブランチ push push
GitHubが提供する静的解析をすぐ使える • 設定から静的解析をすぐ適用できる • より柔軟に設定したい場合は、GitHub Actions のワークフローを出力し、カ スタマイズができる • パブリックリポジトリの場合は無料で利用できる
• プライベートリポジトリで利用したい場合は、GitHub Advanced Security(GHAS) が必要 • 解析は GitHub が提供する CodeQL を用いており、様々な言語や フレームワークに対応しており、クエリを自作することもできる
CodeQL analysis 導入デモ • Setup の操作 • Advanced を選択した場合のワークフロー •
検出されたアラートを確認してみる
CodeQL のセットアップは簡単
CodeQL デフォルト設定は自動判別 リポジトリにあるコードの言語を検出して、対応した言語を設定してくれる
検出結果をGitHub上で確認できる
検出結果詳細 コードの位置や、関連する脆弱性などの情報を確認できる
アプリケーションだけでなく、 インフラの脆弱性も Code scanning: Overview
サードパーティツールの結果を取り込める • Code Scanning は、SARIF 形式の解析結果をアップロードすると Overview で統合して扱える
サードパーティーツールによる解析 デモ • tfsec アクションの紹介 • microsoft/security-devops-action アクションの紹介 • github/codeql-action/upload-sarif
によるアップロード
tfsec • Terraform のコードを解析をしてくれる • Azure などの主要なプラットフォームプロバイダのインフラ構成の解 析もサポートしている • aquasecurity/tfsec:
Security scanner for your Terraform code (github.com)
microsoft/security-devops-action • オープンソースの解析ツールを統合してスキャンを実行してくれる • Bandit, BinSkim, Eslint – Python, バイナリ,
JavaScript など解析 • Template Analyzer - ARMテンプレート、Bicep の解析 • Terrascan – Terraform やコンテナ周りの解析 • Trivy – コンテナ周りの解析 • microsoft/security-devops-action: Microsoft Security DevOps for GitHub Actions.
GitHub でのセキュリティ対策、 漏れはない? Microsoft Defender for GitHub
Microsoft Defender for DevOps
Defender for DevOps 資料 • Microsoft Defender for DevOps -
利点と機能 | Microsoft Learn • Microsoft Security DevOps GitHub アクションを構成する | Microsoft Learn
まとめ
GitHubセキュリティ関連の利用可否まとめ パブリックリポジトリ プライベートリポジトリ プライベートリポジトリ (GHASあり) Dependency graph 〇 〇 〇
Dependabot alerts 〇 〇 〇 Dependabot security updates 〇 〇 〇 Dependabot version updates 〇 〇 〇 Dependency review 〇 × 〇 Secret scanning 〇 × 〇 Secret scanning(Push protection, カスタムパターン) × × 〇 Code scanning 〇 × 〇
GitHub Advanced Security とは • GitHub Enterprise Cloud または Server
のライセンスに付与す る追加ライセンス • 前述のように、プライベートリポジトリでセキュリティ関連の機能をフル に利用するために必要
Thank you so much🍩.
dzeyelid
legalontechnologies
i35_267
bitkey
maaaato
hhiroshell
techniczna
kashira
kkamegawa
scgajge12
halkt
lycorptech_jp
glorypulse
nonsquared
brettharned
csswizardry
pedronauck
marcduiker
chriscoyier
dougneiner
rmw
62gerente
palkan
eileencodes
sonatard
