GitHub Advanced Security でセキュリティ対策
みなさんこんにちは。ACS事業部 亀崎です。
先日、当ブログにてGitHub Advanced Securityの機能を紹介したのですが、ご覧いただけましたでしょうか。
これらの機能を活用することで、開発コードや依存ライブラリ等の脆弱性確認など、セキュリティチェックを自動化していくことができるということがわかっていただけたかと思います。
現在の多くのアプリケーションはオープンソースのライブラリや機能を活用して実装しているものと思います。そうしたツールは絶えず更新され続けていますし、日々脆弱性対応なども行われています。だからこそ、自身が開発するアプリケーションでもそうした情報をチェックし、オープンソースツール等と同様に更新し続ける必要があります。
さて、これらのスキャンツールの結果ですが、どのように確認していますでしょうか。 一般的にはGitHubのそれぞれのリポジトリで都度確認という形になるかと思いますが、実は 開発者ポータル Backstage でもこれらの結果を確認することができます。
Backstage GitHub Security Insights Plugin
Dependabot security alerts や Code scanningの結果をBackstage上に表示するPluginの1つがこちらになります。
こちらのPluginを Backstage frontend に導入し、GitHub App等で適切な権限 ( Code scanning alerts のread 権限が必要です)を付与すれば準備は完了です。
それでは実際の表示イメージをみていきましょう。
Dependabot security alert
こちらがDependabot security alertsの表示イメージです。
Overview等で表示する Widget 形式
Tabとして表示する Contents 形式
Code Scanning
つづいてCode Scanningの表示イメージです。
Overview等で表示する Widget 形式
Tabとして表示する Contents 形式
まとめ
Backstageを使うと、都度GitHubの画面等を確認しなくてもセキュリティスキャンの結果はその他様々な情報が1つの画面内で確認することができるようになります。 日々の作業の中でちょっと見るだけで確認が完了する、とても便利になると思いませんか?
Backstageには他にも開発者の認知負荷を低減する様々な機能が存在します。その効果も使い方次第でより大きくなります。 ご興味のある方がいらっしゃいましたらぜひ弊社までご連絡ください。よろしくお願いします。
www.ap-com.co.jp www.ap-com.co.jp
弊社では開発者ポータルBackstageのマネージドサービスである「PlaTT」も提供しております。 Backstageに興味があるという方もぜひご連絡をいただけると嬉しいです。
それでは、また別の機会にお会いしましょう。
