流行のツールと多様な形式のコードが相互に関連しているため、基本的には、さまざまなユーティリティ セキュリティ ツールを利用する必要があります。ツールの特定の部分。 複数のツールをワークフローに統合する場合、セキュリティのために生産性とコラボレーションを自分で売買する可能性が高くなります。 これは、多様なユーザー エクスペリエンスを備えた多様なツールが、テスト方法を通じてすべてのトップ デバイスのコンテキスト切り替えと矛盾を構成する可能性があるためです

生産性、またはセキュリティのためのコラボレーション。 GitHub Evolved Safety (GHAS) は、慣れ親しんだワークフローにセキュリティ テストを組み込み、脆弱性や秘密の漏洩を防止および修復するのに役立ちます。 GHAS を使用すると、ネイティブの GitHub セキュリティ ソリューションにより、同じワークフロー内で出産用品とサード セレブレーション テスト ツールをシームレスに組み合わせることができる可能性が高くなります。 これは、クエリをプルするたびに、セキュリティ テストを自動化し、最終的に GitHub の結果が配信されるのと同じ構造内にあることを最終的に明らかにし、開発者の旅の継続性を高める可能性が高いことを意味します。

Cresta は GitHub Actions を利用してコードスキャンを自動化することで、セキュリティをスケーラブルにします。 約 80 人の開発者が、クエリを配置するプルのコードを修正しています。 あなたはおそらく、それ以上の大きなインパクトを得る準備ができているでしょう.

– Robert Kugler、シニアセーフティマネージャー、Cresta

コードの安定化を支援するために、ほとんどの GHAS セキュリティ面はすべての公開リポジトリで無料であり、最も深いリポジトリを保護するためのアドオンとして装備されています。 GHAS を利用して、 シークレット スキャン を使用して漏えいした資格情報のコードを概観する可能性があるデバイスの可能性はどれですか? CodeQL を使用して、特定されたパニックに陥ったコーディング パターンを特定し、脆弱性を プレゼントチェーン Dependabot

の利用 および 依存関係の評価 – すべてを可視化しながらセキュリティ 概要での調査結果。 これらの GitHub ネイティブ機能を延長または補完するために、60 を超える 統合 SAST、モバイル、SCA、DAST、API、コンテナ スキャンなど、すぐに使用できる出産用品またはサード セレブレーション ユーティリティ セキュリティ ツールに。 これにより、価値のあるセキュリティ オーケストレーション ジャーニーを犠牲にすることなく、本質的に最も注目を集める機器とツールを調達することができます。

AppSec プログラムは、あらゆる理由で変動するツールで構成されます-特定の構成のリスク用に構築されています。 必要なツールの組み合わせは、本物のコードに依存します。 閉鎖する予定の手段に関係なく、GitHub Actions を使用してセキュリティ テストを自動化した場合は常に、クエリを送信するすべてのプルがロボットによってテストされる可能性があります。 セキュリティの検出結果が検出された場合、これはプルプット クエリ内で瞬時に表示される可能性が高く、GitHub の組み込みセキュリティ ソリューションと同じユーザー ジャーニーを提供します。 どのツールがチームに適しているかを判断するのに役立つように、私たちはきちんと好きなテストの種類と、それらを利用する可能性が高い理由をまとめました.

デモンストレーション: このフラグメントのすべてのサード セレブレーション ツールは、たとえば、GitHub からの適切な推奨としてではなく、装備されています。 オプションの楽器として決定する前に、基本的にあなたの本当の欲求に基づいて楽器を概観してください.

静的予後 (SAST)

素晴らしいコードを構築するには、あなたの書き方が安定している、GitHub には、ローカルの SAST インストゥルメントである CodeQL があります。 CodeQL は、GitHub のコード スキャンを強化するセマンティック コード分析エンジンであり、サプライ コードのセキュリティの脆弱性を防止および修復するのに役立ちます。 CodeQL は、OWASP の high-10、ハードコードされた資格情報、およびさまざまな形式のパニックに陥ったコーディング パターンを識別します

SAST拡張性

Rust や Elixir など、CodeQL で当面サポートされていない言語、または深さを延長しようとしている言語を使用している間あなたのセルテストの。 出産用品や 3 番目のお祝いのツール を使用して、補償範囲を延長する準備ができている可能性があります。 以下 または Github Actions を使用した GitHub コード スキャンによる NowSecure 。 GitHub のコード スキャンとアクション デバイスの可能性を備えたミキシングの旅は、新しい言語とフレームワークに着手し、ネイティブ ツールの内部を強化しながら、セキュリティ体制を強化し、開発者とセキュリティ グループに絶え間ない旅を提供する可能性があります。 pull put クエリを送信します。

資格情報のスキャン

コード、自己規律、またはフィードバックに対する資格情報を意図せずに発見していないことを素晴らしいものにするために、Github にはローカルの秘密検出ツールがあります。 GitHub のシークレット スキャンは、漏洩した資格情報をコードに添付し、新しいシークレットが提供されるのを防ぐのに役立ちます。 シークレット スキャンは、100 以上 の主要なクラウド サービス プロバイダーと開発者ツールから API トークンを識別します 。 シークレットスキャンの プッシュプロテクト 機能の可能性は、トークンがリポジトリに入るのを積極的に防止する可能性が高いことです。 おそらく、カスタムの形をした式 を特定するのに役立ちます割り当ての識別情報、SSH キー、資金情報 、またはデフォルトでは検出されない内部 API トークン

機器組成予測 (SCA)

保存するにはあなたのツールは安定したチェーンを提示します。 依存関係の評価は、クエリをプルするたびに、依存関係の変更とこれらの変更のセキュリティの印象を既に知るのに役立ちます。 Dependabot は、依存関係とその脆弱性を特定し、それらを修復、パッチ、または更新する方法を提案することで、現在のチェーンを保護します。 おそらく、新しい依存関係の ライセンス を考慮して接続するように Dependabot を構成する準備ができている可能性があります。 、脆弱性を特定した新しい依存関係をブロックし、優先順位を付ける脆弱性 基本的には、ユーティリティが弱いプロシージャを呼び出すかどうかに基づいています。

アーティファクト/コンテナのスキャン

コンテナーにデプロイしている間、コンテナー イメージにはオペレーティング システムが含まれます。 DockerHub のようなパブリック コンテナー レジストリから提供される可能性が高い、docker レイヤー内に組み込まれたツール。 これらのコンテナの写真には、脆弱性がある可能性があります。 Trivy

のようなツール Aquasec と Grype Anchore からの出産用品ツールは、コンテナ イメージをスキャンしてセキュリティの脆弱性を探すためによく利用する可能性があります。 GitHub コード スキャンとアクションを使用すると、おそらくこれらを GitHub コード スキャン ワークフローに組み合わせて、pull put クエリ内の開発者とセキュリティ グループに絶え間ない旅を提供するでしょう。

コードスキャンとしてのインフラストラクチャ

アーキテクチャの可能性に応じて脆弱性について Kubernetes 構成を適切に保存するツール、または Terraform や Azure Resource Manager テンプレートなどのコード テンプレートとしてインフラストラクチャを適切にスキャンするツールが必要になる可能性があります。 Kubesec

のような楽器 および tfsec は、インフラストラクチャ内の構成エラーを特定することを減らすことができます。また、おそらく、GitHub コード スキャンとアクションを通じて組み込まれ、開発者とセキュリティ グループ内の絶え間ない旅を提示します。 pull put クエリを送信します。

動的ユーティリティ セキュリティ テスト(DAST)

脆弱性の中には、ユーティリティが完成したときに最も簡単に発見できるものがあります。 ユーティリティがステージングまたは QA に入ると、DAST ソリューションを使用して、ユーティリティの屋外での外観を取得する可能性が高くなります。 何百もの攻撃ベクトルを安全に悪用して、Web リソース内の脆弱性を獲得しようとします。 StackHawk

のような楽器 と OWASP Zap は動的なユーティリティ テストを構成し、開発者が GitHub コード スキャン API を利用できるようにその結果を示します。

実証: 動的ユーティリティ テストの結果は、SARIF 構造の内部で常にきちんと一致するわけではありません。 たとえば、ダイナミック シグナルは、検出結果に関連付けられた行番号やファイル名を持っていません。 今のところ、DAST シグナルは DAST サプライヤーのプラットフォームへのディープ ハイパーリンクで返されます。これにより、DAST シグナルがより確実に発見される可能性があります。 適切ではありませんが、この休息は執拗なコンテキストとアラートの浮上を示します. )APIスキャン

DAST と同様に、ユーティリティがデプロイ可能になると、 API セキュリティ テストを習慣化しようとしている可能性があります。 おそらく、GitHub コード スキャンとアクション など) を介してツールを組み合わせる準備ができている可能性があります。 42Crunch

) ユーティリティ内部の API を静的および動的に概説するか、調達とテストが柔軟に行える DAST ソリューションStackHawk や OWASP Zap などの API。 サード セレブレーション セキュリティ ツールを GitHub ワークフローに統合する

適切なツールをグループに閉じようと計画している間、確率はGitHub Actions を使用すると、正確に 2 回クリックするだけで、出産用品や出産祝いのセキュリティ ツールを GitHub ワークフローに組み込むことができます。 新しいテストの種類をパターン パイプラインに追加できるように、Safety タブ、プランを閉じる 脆弱性アラートのナビゲーション見出しの下にあるコード スキャン をクリックし、スキャンツールの追加ボタン。 ワークフローを優先する show hide あなたが出産用品やサードセレブレーションに耽溺する可能性が高い場所を隠すあなたのワークフローに即座に。 あなたの創作を支援するために、GitHub は 2,000 分の無料 GitHub Actions 分と、すべてのパブリック リポジトリの無料コード スキャンを提供します。

おそらく準備ができているでしょうまた、Jenkins や TeamCity などのサード セレブレーション CI インストルメントも利用します。 までのこの最も効率的なプラクティスを確認してください余分に勉強してください。 オプションのスキャン手段を調達しなくても、GitHub コード スキャンは、JSON 内で結果を提供するユーティリティ セキュリティ テスト手段を強化できます。 SARIF

構造体.

セキュリティ結果の表示

GitHub Actions を使用してセキュリティ テストを自動化しましたが、クエリを送信するすべてのプルは、おそらくロボットでテストされます。 セキュリティの検出結果が検出された場合、これはプルプット クエリ内で瞬時に表示される可能性が高く、GitHub の組み込みセキュリティ ソリューションと同じユーザー ジャーニーを提供します。 ここから、修復するためのアクションを実行したり、組み込みのコード評価を使用して仲間と協力したり、セキュリティ チームに結果を報告したりする可能性があります.

セキュリティ グループ、エンジニアリング リーダー、および開発者がすべての最上位デバイスを一群 (または数百もの) のリポジトリ全体で操作する場合、セキュリティの概要は、すべての最上位デバイスのリスクの一元的な外観を示します。あなたの機能を通して。 セキュリティの概要では、セキュリティ ソリューション、関連する脆弱性と危険性によってテストされている当面のリポジトリとは何かを心配することなく、レポートの色を離れることなくアクションを検討する可能性があります.

セキュリティの概要ダッシュボードを目立たせるために、Safety

をシャットダウンする計画を立ててください。 グループ内のタブ。 ここから、おそらく「エンタープライズ」、「グループ」、または「リポジトリ」レベルでドリルインし、チーム、重大度、手段、ルール、ブランチ、またはアラートの種類でフィルタリングするか、ロボットでテストを許可する可能性があります。セキュリティ機能がオンに変更されていない場合、セキュリティの概要からはほど遠いです。 出産用品や三度目のお祝いのセキュリティツールの結果を具体的に調べるには、コードスキャン タブ。

GitHub インサイダーに登録する

開発者向けの電子ニュースレターで、戦術、テクニカル ガイド、および GitHub から提供される最新の製品拡張機能をカバーしています。