Microsoft Defender for Cloud のコードからクラウドまでのリスク可視化機能が一般提供開始
Microsoft Defender for Cloud と GitHub Advanced Security の統合が一般提供され、コードからクラウド実行環境までのリスク可視化とコンテキストに基づくセキュリティ対策が可能になった。
キーポイント
コードからクラウドへの相関分析の実現
Defender for Cloud がコンテナイメージをビルドした GitHub リポジトリにマッピングし、ソースコードと実行環境のリスクを統合して追跡・優先順位付けできる。
ランタイム文脈によるセキュリティ評価
Deployment Record API を通じて、インターネット公開状態や機密データ処理などのランタイム情報を GitHub に取り込み、開発・セキュリティチーム間で共通の真実源を確立する。
高度なフィルタリングとキャンペーン機能
GitHub Advanced Security において、デプロイ状況やインターネット公開/機密データ処理などのランタイムリスクに基づいた詳細なフィルタリングが可能になった。
影響分析・編集コメントを表示
影響分析
この統合により、従来の「コード上の脆弱性」と「実行環境でのリスク」の断絶が解消され、DevSecOps プロセスにおける意思決定の精度と速度が大幅に向上します。特にコンテナベースの現代アーキテクチャにおいて、ビルドからデプロイまでの一貫したセキュリティガバナンスを実現する重要なステップとなります。
編集コメント
セキュリティチームと開発チームの連携を強化する実用的な機能であり、クラウドネイティブ環境におけるリスク管理の標準的なワークフローとして定着が期待されます。
この統合機能は現在、一般利用可能です。パブリックプレビュー期間中に顧客から貴重なフィードバックをいただき、アーティファクトとランタイムのコンテキストを GitHub Advanced Security のアラート体験により近づけるためのフォローアップ改善を実施しました。
この統合では、コード、ビルドアーティファクト、およびランタイムのコンテキストを連携させることで、お客様の環境において最も関連性の高いセキュリティリスクを追跡し、優先順位をつけ、対応することができます。
Microsoft Defender for Cloud によるコードからクラウドへの相関分析
Defender for Cloud は、クラウド環境で実行されているものを、それを生成したソースコードに紐付けて相関分析を行います。Defender は、GitHub アーティファクトの証明(アテステーション)などのシグナルと、独自のランタイムインテリジェンスを活用して、環境にデプロイされたコンテナイメージを、それらを構築した GitHub リポジトリにマッピングします。
Defender for Cloud がアーティファクトとそのソースコードをリンクすると、コードがどこでどのように実行されているかという文脈の中でセキュリティ上の発見事項を評価できるようになります。
Microsoft Defender for Cloud からのランタイムリスクコンテキスト
Defender for Cloud はまた、Deployment Record API を通じてワークロードの詳細情報を GitHub に持ち込み、デプロイされた各アーティファクトのランタイムコンテキスト(インターネットに公開されているか、機密データを処理しているかなど)をリンクされたアーティファクトビューに埋め込みます。このコンテキストが GitHub 上で共有されることで、セキュリティチームと開発チームは、ビルドアーティファクトがどのように実行され、どのようなリスクをもたらすかについて、単一の信頼できる情報源を共有できるようになります。
ランタイム認識型のフィルタリングとキャンペーンターゲティング
GitHub Advanced Security では、GitHub コードスキャン、Dependabot、セキュリティキャンペーン全体に実行時コンテキストフィルターをサポートしています。これらのフィルターオプションは、組織レベルのアラートリストおよびキャンペーン作成フローで見つけることができます。
has:deployment を使用してデプロイメントステータスでフィルタリングします。
runtime-risk:(例:runtime-risk:internet-exposed または runtime-risk:sensitive-data)を使用して、実行時リスクに焦点を当てます。
はじめに
統合を有効にするには、GitHub Advanced Security 用の Microsoft Defender for Cloud ドキュメントに記載されたセットアップ手順に従ってください。接続が完了すると、Defender がコンテナのデプロイと実行時リスクのコンテキストを自動的に処理します。
セキュリティビューで新しいフィルターオプションを使用して、デプロイ済みかつ公開されている対象にトリアージとキャンペーンを集中させます。
重要なセキュリティ問題やキャンペーンを、問題またはキャンペーンビューから直接 GitHub Copilot コーディングエージェントに割り当ててください。
github コミュニティでのディスカッションに参加してください。
「Microsoft Defender for Cloud によるコードからクラウドまでのリスク可視化が一般提供開始」という記事は、最初に The GitHub Blog で公開されました。
原文を表示
This integration is now generally available. Since entering public preview, we’ve heard valuable feedback from customers, and we’ve shipped follow-up improvements that bring artifact and runtime context closer to the GitHub Advanced Security alert experience.
This integration connects code, build artifacts, and runtime context so you can track, prioritize, and remediate the security risks most relevant to your environment.
Code-to-cloud correlation with Microsoft Defender for Cloud
Defender for Cloud correlates what’s running in your cloud environments back to the source code that produced it. Defender maps container images deployed in your environments to the GitHub repositories that built them, using signals like GitHub artifact attestations alongside its own runtime intelligence.
Once Defender for Cloud links an artifact to its source, you can evaluate security findings in the context of where and how the code runs.
Runtime risk context from Microsoft Defender for Cloud
Defender for Cloud also brings workload details into GitHub through the Deployment Record API, populating the linked artifacts view with runtime context for each deployed artifact—such as whether it’s internet-exposed or processes sensitive data. With this context on GitHub, your security and development teams share a single source of truth for how build artifacts run and the risks they pose.
Runtime-aware filtering and campaign targeting
GitHub Advanced Security supports runtime context filters across GitHub code scanning, Dependabot, and security campaigns. You’ll find these filter options in organization-level alert lists and campaign creation flows:
Filter by deployment status using has:deployment.
Focus on runtime risks with runtime-risk: (for example, runtime-risk:internet-exposed or runtime-risk:sensitive-data).
Getting started
To enable the integration, follow the setup steps in the Microsoft Defender for Cloud documentation for GitHub Advanced Security. Once connected, Defender handles container deployments and runtime risk context automatically.
Use the new filter options in security views to focus triage and campaigns on what’s deployed and exposed.
Assign critical security issues or campaigns to the GitHub Copilot coding agent directly from the issue or campaign view.
Join the discussion in the GitHub Community.
The post Code-to-cloud risk visibility with Microsoft Defender for Cloud is now generally available appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み