はじめに
こんにちは!ACS事業部)土居です。
Microsoftの年次大型イベントであるIgnite 2022が始まりました。
我々の部署ではAzureを中心とした業務を行っているので、Azure Repos , Azure PilelinesによるCI/CD環境構築などAzure DevOpsを活用することが非常に多いです。
Ignite 2022ではGitHub Advanced Securityの機能がAzure DevOpsでも活用できるようになるという大きな告知がありました。 今年のMicrosoft BuildではAzure DevOpsに関する新情報がほとんどピックアップされなかったので寂しい思いをしていましたが非常に嬉しい限りです。
GitHub Advanced Securityとは?
GitHub Advanced Securityとは GitHub Enterprise環境で利用できる有償のセキュリティオプションです。 システム運用において通常リポジトリはプライベートリポジトリを選択すると思いますが、プライベートリポジトリで以下の機能を使用することができます。
- コードスキャン
業界をリードする CodeQL 静的分析エンジンを使用して、C#、C/C++、Python、JavaScript/TypeScript、Java などの幅広い言語で、SQL インジェクションや認証バイパスなどの数百のコード セキュリティ脆弱性を検出します。
- シークレットスキャン
現在のクラウドを使ったシステムでは様々なサービスが組み合わされて構築されているため、アプリケーションは様々なシークレットを利用します。しかし、そのシークレットが正しい場所にセキュアに格納されていないと、セキュリティインシデントに繋がる可能性があります。シークレットスキャンでは、多数のサービスパターンと一致するシークレットがリポジトリ上に含まれていないか常時チェックが走ります。シークレットスキャンが潜在的なシークレットを検出した場合、シークレットを発行したサービスプロバイダーに通知します。
- 依存性スキャン
パッケージバージョンの変更によって導入された依存関係の脆弱なバージョンをスキャンし、関連するセキュリティの脆弱性について警告します。
詳細は下記を参照下さい。 https://docs.github.com/ja/get-started/learning-about-github/about-github-advanced-security
何が嬉しいのか?
Azure ReposとAzure Pipelinesでは、上記のようなコードの脆弱性を検知してくれるような機能が今まで存在しませんでした。 そのため、Pilelinesの中でユーザーで任意のツールなどを組み込んで運用することが多くユーザー側に負担が強いられていました。
GitHubは現在セキュリティの取り組みにかなり投資を行っており、優れたエンジンや機能を次々にリリースしているため、これらの機能がAzure DevOpsでも活用できるようになるのはAzure DevOpsユーザーにとっては非常にありがたいです。
2022 年 11 月初旬にプライベート プレビューが始まるようですので、興味がある方は是非申し込んでみましょう。
また、Microsoft Defender for DevOpsも合わせて発表されました。
こちらはGitHub Advanced Securityを有効にしているGitHub、Azure DevOpsのパイプラインをMicrosoft DefenderのPortal画面から一元管理できる機能になります。
マイクロサービスなどの構成をとるシステムではリポジトリやパイプラインも複数管理することが一般的なので、是非活用していきたい機能です。
詳細は下記の公式ブログを参照下さい。
その他Azure DevOpsの今後のアップデートについて
Azure DevOpsの発表はこれだけではありません。
製品全般やセキュリティ関連の今後のアップデートについてRoadmapとしてまとめられています。
個人的には、OIDC周りのアップデートやBoardsでのマークダウンフィールドのサポートなどに期待しています。 今後もAzure DevOpsをどんどん盛り上げていきましょう!
おわりに
速報ということで概要だけの紹介に留まりますが、引き続きAPCではIgnite 2022での発表を取り上げ紹介していきたいと思います!