この記事のポイント
この記事は、GitHubに導入された新セキュリティ機能について説明しています。- 新機能により、デジタル署名のサポートを通じてソフトウェアの起源と整合性を保証できるようになりました。
- Sigstoreプロジェクトとの連携を進め、開発者がソフトウェアアーティファクトの署名と検証を簡単に行えるようにしています。
- GitHub CLIの機能が拡充され、効率的な作業とセキュリティ実践の推奨が行われています。
監修者プロフィール
坂本 将磨
Microsoft AIパートナー、LinkX Japan代表。東京工業大学大学院で技術経営修士取得、研究領域:自然言語処理、金融工学。NHK放送技術研究所でAI、ブロックチェーン研究に従事。学会発表、国際ジャーナル投稿、経営情報学会全国研究発表大会にて優秀賞受賞。シンガポールでのIT、Web3事業の創業と経営を経て、LinkX Japan株式会社を創業。
GitHubがソフトウェア供給チェーンの安全性を一層強化するために新たなセキュリティ機能を導入したことを受け、この記事ではその具体的な内容と、ソフトウェアの透明性と信頼性向上に向けた取り組みについて解説します。
オープンソースソフトウェアが直面する安全上の課題に対処するため、デジタル署名のサポートや確認可能なアテステーションの提供を行い、開発者が使用するコードの起源を明確に追跡し評価する基盤が築かれつつあります。
Sigstoreプロジェクトとの連携などによる進化も挙げられ、ソフトウェア署名と検証によって供給チェーンの透明性が強化されています。
また、GitHub CLIの機能拡張も進み、セキュリティ実践の推奨と合わせて安全な開発環境を支える施策が展開されており、これらのアップデートが開発者にどのような助けをもたらすのかを考察していきます。
GitHubが新セキュリティ機能を強化、より安全なソフトウェア供給チェーンを実現
2024年、GitHubはソフトウェアの供給チェーンの安全を一層強化するために、新しいセキュリティ機能をプラットフォームに導入しました。
これは、オープンソースソフトウェア(OSS)コミュニティと連携し、ソフトウェアアーティファクトの追跡可能性と整合性を高めるという目的で行われています。
具体的には、安全なハッシュ生成や非対称暗号化を用いたデジタル署名などがサポートされており、ソフトウェアの起源と整合性の保証に大きく貢献しています。
SLSAフレームワークやin-totoプロジェクトを通じたアテステーション(証明書)を導入することで、アーティファクトの出所に関する追加の信頼情報を提供できるようになります。
これにより、開発者は自分たちの使用するコードや依存関係がどこから来たのかをより明確に理解し、信頼できるか評価することが可能になります。
SigstoreプロジェクトとGitHubの連携によるソフトウェア署名と検証
GitHubは業界パートナーと協力して、Sigstoreプロジェクトを推進しています。
SigstoreはオープンソースのX.509証明書局およびタイムスタンプ機関を提供し、開発者がソフトウェアアーティファクトの署名と検証を簡単に行えるようにすることを目的としています。
これにより、GitHub Advanced Securityツールを使えば、開発者は自分たちのソフトウェア供給チェーンをさらに安全に保護することができます。
また、アーティファクトとビルドプロセスの間に検証可能なリンクを提供し、全体のセキュリティを強化することが可能になります。
SigstoreとGitHubの組み合わせは、ソフトウェア開発の信頼性を向上させるために重要なステップとなっています。
GitHub CLIの進化とセキュリティ実践の推奨
GitHubは、そのコマンドラインインターフェース(CLI)の機能を拡充しています。新しいコマンドがGitHub ClassroomやGitHub Projectsに追加され、カスタムコマンドのための拡張機能も含まれるようになっています。
これにより、ユーザーはより効率的に作業を行い、GitHubの機能を最大限に活用することができます。
同時に、GitHubは開発者に対して、CodeQLを使用することや2要素認証(2FA)を有効にするなどのセキュリティ実践を強く推奨しています。
これらの実践により、GitHub内でのコードスキャンなどのセキュリティツールを統合し、プラットフォームをより安全に保つことができます。
GitHubは、これらの新しいセキュリティおよびCLIの更新を通じて、開発者が安全なソフトウェア開発を行うための支援を続けています。
出典:Github
