はじめに

こんにちは！ACS事業部）土居です。

Microsoftの年次大型イベントであるIgnite 2022が始まりました。
我々の部署ではAzureを中心とした業務を行っているので、Azure Repos , Azure PilelinesによるCI/CD環境構築などAzure DevOpsを活用することが非常に多いです。

Ignite 2022ではGitHub Advanced Securityの機能がAzure DevOpsでも活用できるようになるという大きな告知がありました。今年のMicrosoft BuildではAzure DevOpsに関する新情報がほとんどピックアップされなかったので寂しい思いをしていましたが非常に嬉しい限りです。

GitHub Advanced Securityとは？

GitHub Advanced Securityとは GitHub Enterprise環境で利用できる有償のセキュリティオプションです。システム運用において通常リポジトリはプライベートリポジトリを選択すると思いますが、プライベートリポジトリで以下の機能を使用することができます。

コードスキャン

業界をリードする CodeQL 静的分析エンジンを使用して、C#、C/C++、Python、JavaScript/TypeScript、Java などの幅広い言語で、SQL インジェクションや認証バイパスなどの数百のコードセキュリティ脆弱性を検出します。

シークレットスキャン

現在のクラウドを使ったシステムでは様々なサービスが組み合わされて構築されているため、アプリケーションは様々なシークレットを利用します。しかし、そのシークレットが正しい場所にセキュアに格納されていないと、セキュリティインシデントに繋がる可能性があります。シークレットスキャンでは、多数のサービスパターンと一致するシークレットがリポジトリ上に含まれていないか常時チェックが走ります。シークレットスキャンが潜在的なシークレットを検出した場合、シークレットを発行したサービスプロバイダーに通知します。

依存性スキャン

パッケージバージョンの変更によって導入された依存関係の脆弱なバージョンをスキャンし、関連するセキュリティの脆弱性について警告します。

詳細は下記を参照下さい。 https://docs.github.com/ja/get-started/learning-about-github/about-github-advanced-security

何が嬉しいのか？

Azure ReposとAzure Pipelinesでは、上記のようなコードの脆弱性を検知してくれるような機能が今まで存在しませんでした。そのため、Pilelinesの中でユーザーで任意のツールなどを組み込んで運用することが多くユーザー側に負担が強いられていました。

GitHubは現在セキュリティの取り組みにかなり投資を行っており、優れたエンジンや機能を次々にリリースしているため、これらの機能がAzure DevOpsでも活用できるようになるのはAzure DevOpsユーザーにとっては非常にありがたいです。

2022 年 11 月初旬にプライベートプレビューが始まるようですので、興味がある方は是非申し込んでみましょう。

ux.microsoft.com

また、Microsoft Defender for DevOpsも合わせて発表されました。こちらはGitHub Advanced Securityを有効にしているGitHub、Azure DevOpsのパイプラインをMicrosoft DefenderのPortal画面から一元管理できる機能になります。
マイクロサービスなどの構成をとるシステムではリポジトリやパイプラインも複数管理することが一般的なので、是非活用していきたい機能です。

詳細は下記の公式ブログを参照下さい。

https://devblogs.microsoft.com/devops/integrate-security-into-your-developer-workflow-with-github-advanced-security-for-azure-devops/