GitHubは、GitHub Advanced SecurityおよびGitHub Code Securityを利用中のユーザーに向けて、開発者とセキュリティチームの協働によってソフトウェアの脆弱性を体系的に解消する「セキュリティキャンペーン」の正式提供を開始した。
セキュリティキャンペーンは、従来の個別対応では困難だったセキュリティ負債の一元管理と、リスクの優先順位付けを実現し、セキュリティ課題への解決スピードを向上させるとのことだ。セキュリティチームと開発者をつなぎ、脆弱性修正プロセスをワークフロー内で、かつ大規模に効率化することでギャップを解消。Copilot Autofixを活用して一度に最大1,000件のコードスキャンアラートに対する修正案を生成し、セキュリティチームのトリアージや優先順位付けを支援するという。
セキュリティキャンペーンの仕組み
コードベースに既存するセキュリティ問題のトリアージや優先順位付けは、通常のソフトウェア開発ライフサイクルの一環として行われる必要がある。しかし、開発スピードが求められる製品チームは、セキュリティアラートの精査と対応に必要な時間を確保することが困難だという。
多くのソフトウェア組織には、こうしたリスクを理解し、対応できるセキュリティチームが存在する。セキュリティキャンペーンは、開発者とセキュリティチームが持つ異なる専門性を融合し、セキュリティ負債に対処するための新たな協働体制を実現するとしている。
- リスクの優先順位付け:リポジトリ全体のリスクを評価し、対処すべきアラートを優先順位付けする。キャンペーンの範囲設定を支援するために、よく使われるテーマ(MITRE Top 10 Known Exploited Vulnerabilitiesなど)をベースにしたテンプレートや、GitHubセキュリティ概要の全体的なリスク状況をまとめた統計、メトリクスが用意されている
- 通知と作業管理:選定されたアラートに対して、キャンペーンの影響を受ける開発者へ通知が送られる。キャンペーンで定義された作業はGitHub上で他の機能作業と同様に計画・管理が可能
- 自動修正提案:Copilot Autofixがキャンペーン内のすべてのアラートに対し、自動修正案とカスタムヘルプテキストを作成開始する。アラートの修正は、差分確認後にプルリクエストを作成するだけで完了する
セキュリティキャンペーンは、単なるアラートのリストではないと同社は述べている。キャンペーンは、アラートを通知で補完し、開発者や開発チームが責任を持つアラートを確実に認識できるようにするとのことだ。開発者とセキュリティチームとの協働を強化するために、キャンペーンには担当マネージャーが任命され、キャンペーンの進捗を監督し、開発者を支援。セキュリティマネージャーは、GitHub 上で組織レベルのビューを通じて、進捗の全体像を把握し、必要に応じて開発者と協力することが可能だという。
セキュリティキャンペーンの正式提供にともない、以下の新機能も利用可能になったとのことだ。
- ドラフトセキュリティキャンペーン:セキュリティマネジャーは、キャンペーンの範囲を繰り返し検討し、内容を公開前にドラフトとして保存可能になった。ドラフトキャンペーンを使用することで、セキュリティマネジャーは作業が本稼働する前に、最も優先順位の高いアラートが含まれていることを事前に確認できる
- GitHub Issuesの自動作成:セキュリティマネジャーは、キャンペーンに含まれるアラートに対して、リポジトリごとにGitHub Issuesが自動的に作成・更新される。チームでの進捗確認や管理、議論するために使用可能
- 組織レベルのセキュリティキャンペーン統計:セキュリティマネジャーは、現在進行中および過去のキャンペーンに関する進捗状況を示す統計情報を集約して、可視化できるようになった
【関連記事】
・GitHub、「GitHub Copilot」を機能強化 組織ごとの開発ワークフローに適応
・GitHub、オープンソースセキュリティの支援に向けた資金提供プログラムのパートナーを募集
・GitHub、角田賢治氏が日本・韓国エンタープライズ担当シニアディレクターに就任
