Microsoft が Azure DevOps 向け GitHub Advanced Security パブリック プレビューを発表

Microsoft のBuild 2023 開発者カンファレンスの一環として、同社は Azure DevOps 向け GitHub Advanced Security のパブリック プレビューを開始したと発表しました。Microsoft は、GitHub Advanced Security が 2022 年 10 月に Azure DevOps に導入されることを最初に発表し、2022 年 11 月にプライベート プレビューを開始しました。

Microsoft はブログ投稿で次のように述べています。

GitHub Advanced Security for Azure DevOps は、GitHub Advanced Security と同じ業界をリードする開発者セキュリティ機能を Azure DevOps にもたらし、Azure Repos および Azure Pipelines に直接統合されます。これには、GitHub Enterprise 内で利用できるものと同じシークレット スキャン、依存関係スキャン、CodeQL コード スキャン機能が含まれます。

シークレット スキャン機能は、シークレット資格情報の公開を恐れる開発者にとって大きな助けになるはずです。このブログ投稿では、すべてのセキュリティ侵害の 50% は資格情報の漏洩が原因であると述べています。

GitHub Advanced Security for Azure DevOps の機能を使用すると、以前にリリースされたシークレットを見つけることができますが、流出する前にそれ以上のシークレットをブロックすることもできます。それは次のように述べています：

シークレットがどの程度広く使用されているかによっては、これは数日の労力とストレスになる可能性があります。シークレットが使用されている場所の 1 か所だけでシークレットをローテーションし損ねると、ライブ サイトの停止が発生する可能性があります。一方、プッシュ時にシークレットの公開をブロックした場合、Azure Repos に永続化される前に、コミットと再プッシュをクリーンアップするのに 5 分の作業が必要になります。とても簡単です。

新しい GitHub サービスは、依存関係スキャン機能を使用して、オープンソース パッケージの脆弱性を検出することもできます。さらに、CodeQL 静的分析エンジンを使用して、開発者はさまざまなコード言語から何百ものセキュリティ問題を見つけることができます。

GitHub Advanced Security for Azure DevOps の請求は、Azure 経由で処理されます。アクティブなコミッター 1 人あたり月額 49 ドルの費用がかかります。興味のあるお客様は、公式 Web サイトで今すぐパブリック プレビューにサインアップしてください。