Microsoft は、Azure DevOps 向け GitHub Advanced Security。この発表は、セキュリティ機能が 2022 年 10 月に最初に導入され、その後 5 月にパブリック プレビューが行われた後に行われました。このサービスは、開発者にシークレット スキャン、依存関係スキャン、CodeQL コード スキャン機能などのツールを提供することで、Azure DevOps 環境を強化するように設計されています。これにより、開発者、セキュリティ、運用 (DevSecOps) チームがセキュリティを犠牲にすることなくイノベーションを優先し、開発者の生産性を向上できるようになります。
開発者のフィードバックに基づく機能強化
GitHub Advanced Security for Azure DevOps には、次の機能が含まれています。
シークレット スキャン: API キー、パスワード、トークンなどのシークレットのコードをスキャンし、シークレットが見つかった場合は警告を発します。 コード スキャン: GitHub の静的分析エンジンである CodeQL を使用して、コードをスキャンしてセキュリティの脆弱性がないか確認します。 依存関係のスキャン: 依存関係をスキャンして既知の脆弱性がないか確認し、見つかった場合は警告を発します。 セキュリティ アラート: Azure DevOps パイプラインとダッシュボードで実用的なセキュリティ アラートを提供します。
パブリック プレビュー以来、Microsoft は開発者コミュニティからのフィードバックを積極的に収集してきました。このフィードバックに応えて、ハイテク巨人はいくつかの重要な変更を加えました。重要な変更の 1 つは、サービスに対する特別な登録要件が削除されたことです。 Microsoft によれば、「すべての Azure DevOps プロジェクト コレクション管理者 (PCA) は、Azure DevOps 構成設定を通じて組織/プロジェクト/リポジトリの高度なセキュリティ保護を有効にできるようになりました。」さらに、プロセスを合理化するために、開発者は高度なセキュリティをアクティブ化することを選択できるようになりました。組織、プロジェクト、または個々のリポジトリ レベルで。新しく作成されたリポジトリに対して高度なセキュリティを自動的に有効にするオプションもあります。
Microsoft Defender for Cloud との統合
もう 1 つの注目すべき機能は、Advanced の統合です。 Microsoft Defender for Cloud (MDC) によるセキュリティ。この統合は、開発者に次の機能を提供することを目的としています。 Azure DevOps 上でも GitHub 上でも、リポジトリ全体のすべての Advanced Security アラートを単一の MDC インターフェイスを通じて統合ビューで確認できます。この機能は追加料金なしで利用できますが、有料バージョンを選択すると、拡張されたコードからクラウドへのコンテキスト化機能にアクセスできるようになります。
今後の開発者向けウェビナー
開発者をさらに支援し、長引く質問に対処するために、Microsoft は 10 月 4 日にウェビナーのデモと Q&A セッションを予定しました。これは、開発者が新機能と、その新機能を Azure DevOps 組織で最大限に活用する方法について理解を深める機会となります。
