ROUTE06はGitHub Advanced Securityを導入します - ROUTE06 Tech Blog
プロダクトセキュリティのお手伝いをしている wonda-tea-coffee です。 このたびROUTE06ではGitHub Advanced Security(以下GHAS)を導入することになりました。 👉 あわせて読みたい: 全社プロダクトのセキュリティ向上: SASTツールを選定した話 それに際してGHASとは何か、またどんな運用を予定しているのかについて社内向けに資料を作成しました。今回はその資料を社外向けに一部修正して紹介します。 GHASとは GHASはGitHubのEnterpriseプランに追加することができるセキュリティ機能に特化したアドオンです。 docs.github.com 以下ではGHASが備える機能について紹介します。 Code Security GitHub上のコードの脆弱性をスキャンする機能です。 docs.github.com GUI操作のみで手軽に有効
全社プロダクトのセキュリティ向上: SASTツールを選定した話 - ROUTE06 Tech Blog
プロダクトセキュリティのお手伝いをしている wonda-tea-coffee です。 最近セキュリティ施策としてプロジェクト横断的に使用するSASTツールの導入を検討しました。 SAST(Static Application Security Testing)は、アプリケーションのソースコードを動作させずに解析する手法のことです。 この記事ではその検討の結果と過程を紹介します。 選定基準 社内で使用している主要なプログラミング言語・パッケージ管理システムをサポートしていること 最も重要な点です。ツールによってサポート範囲が異なるため注意が必要です。 セキュリティ上の問題をより多く検知できること 今回は有用なセキュリティのガードレールが欲しかったため、解析項目の多さも重要です。 開発業務に支障が少ないこと 誤検知が煩わしかったり、指摘内容が分かりづらかったりしては開発業務に支障が出てしまいま
CI/CDでサードパーティスクリプト・バイナリを使う際の注意点 - ROUTE06 Tech Blog
ROUTE06でプロダクトセキュリティのお手伝いをしている wonda-tea-coffee です。 今回は社内向けに作成した資料を社外向けに一部修正して紹介します。 はじめに 開発のあらゆる場面でサードパーティのスクリプトやバイナリを使用することがあるでしょう。これらは多くの恩恵をもたらす一方で、使い方を誤ると時にセキュリティインシデントに繋がるおそれがあります。 実際にセキュリティインシデントに発展した例としてはコードカバレッジツールであるCodecovへのハッキングが挙げられます。このインシデントでは、Codecovが提供するスクリプトが悪意ある第三者によって改ざんされ、同スクリプトを使用した一部の組織の保有する機密情報が流出しました。 以下では先のインシデントが起きた一因と、望ましいパターンについていくつか紹介します。 アンチパターン サードパーティスクリプトを使う際、以下のような
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
