BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース GitHub Enterprise Server 3.5ではセキュリティを改善し、GitHubアクションをアップデート

GitHub Enterprise Server 3.5ではセキュリティを改善し、GitHubアクションをアップデート

原文(投稿日:2022/06/02)へのリンク

GitHubによると、GitHub Enterprise Serverの最新リリースでは、セキュリティとコンプライアンスに特に重点を置いた多くの新機能が提供されている。そこには、Dependabot統合、セキュリティ機能の向上、GitHubアクションの更新などが含まれている。

Dependabotは自動依存関係管理ツールである。これは、企業顧客から最も要望の多かった機能の1つだとGitHubは言っている。これはセキュリティを強化することを目的とした3つのサービスで構成される。依存関係の更新を管理するコストを削減することでセキュリティを強化している。

Dependabotは、安全でない依存関係をチェックインしたとき、あるいは、既存の依存関係に新しい脆弱性が発見されたときにアラートを上げることができる。このツールでは、安全でない依存関係を、パッチが当てられたバージョンで更新するために、そのパッチが利用可能になったときにPRを自動的にオープンすることもできる。同じように、依存関係を最新バージョンに更新するために必要なすべての変更に対してPRをオープンすることができる。

GitHub Enterprise Serverでは、GitHub Advanced Securityの名の下に新しいセキュリティ機能もいくつか提供する。これはGitHub Enterprise ServerおよびGitHub Enterprise Cloud上のプレミアムサービスである。特に、プッシュプロテクションはリポジトリにシークレットがないかスキャンすることで、漏洩を防ぐ。シークレットスキャンをドライモードで実行して、公開前に結果を確認することもできる。

さらに、GitHub Advanced SecurityではCodeQL機能が拡張されている。例えば、新たに言語バージョンが追加され、パフォーマンスが向上し、CWEカバレッジを改善している。

GitHub Enterprise Server 3.5では、GitHub Actionsがいくつか更新されている。何よりもまず、Actionテンプレートが一般向けに利用可能となった。GitHub Action Templatesを使うと、ワークフローを単純なアクションであるかのように再利用できる。そのため、ワークフロー定義をコピーアンドペーストせずに、1つのアクションとして参照することができる。

パフォーマンスを向上させるために、アクションにおいて中間出力と依存関係をキャッシュできるようになった。さらに、アクセス制御が拡張された。これは、セルフホストランナーにアクセスできるワークフローとバージョンを制限するためのものである。

最後に、GitHub Enterprise Server 3.5にはGitHubコンテナレジストのリパブリックベータ版が含まれている。これにより、コンテナの公開と管理ができる。最新のリリースでは、きめ細かい権限制御、GitHub Actionsとの緊密な統合、パブリックコンテナへの匿名アクセス、Open Container Initiative(OCI)イメージの保存に対するサポートが提供される。

作者について

この記事に星をつける

おすすめ度
スタイル

BT