Dynatraceのランタイムコンテキストを使用してセキュリティアラートを優先順位付け
GitHubはDynatraceのランタイムコンテキストを活用して、Kubernetes環境におけるGitHub Advanced Securityのアラートを、デプロイされたアーティファクトとランタイムリスクに基づいて優先順位付けできる新機能を発表しました。
キーポイント
ランタイムコンテキストによるアラート優先順位付け
Dynatraceのランタイムコンテキスト(デプロイ状況とリスクシグナル)をGitHub Advanced Securityのアラートに統合し、より重要な脆弱性に焦点を当てた修復を可能にします。
具体的なフィルタリングとリスクシグナル
「has:deployment AND runtime-risk:internet-exposed」のようなクエリで、デプロイ済みかつインターネットに公開されている脆弱性をフィルタリングできます。リスクシグナルにはインターネット公開や機密データアクセスが含まれます。
利用可能な顧客層
この機能はGitHub Enterprise Cloudの顧客に対して一般提供されています。
統合によるセキュリティワークフローの効率化
コードスキャンやDependabotのアラートページ、セキュリティキャンペーンにおいて、デプロイ可視性とランタイムリスクシグナルを活用できます。
影響分析・編集コメントを表示
影響分析
この統合は、DevSecOpsの実践において重要な「ランタイムセキュリティ」の観点を開発段階のセキュリティツールに組み込むことで、より実用的で優先順位の高い脆弱性対策を可能にします。大規模なKubernetes環境を持つ企業にとって、セキュリティアラートのノイズを減らし、リスクの高い問題に集中するための実用的なソリューションを提供します。
編集コメント
セキュリティアラートの洪水に悩む開発チームにとって、ランタイム状況に基づいた優先順位付けは実用的な価値が高い。ただし、Enterprise Cloud限定という点が導入のハードルになる可能性がある。
Kubernetes環境において、デプロイされたアーティファクトとランタイムリスクに基づいてGitHub Advanced Securityアラートの優先度付けを行うために、Dynatraceのランタイムコンテキストを利用できるようになりました。
DynatraceをGitHubに接続すると、Dynatraceがリポジトリにマッピングしたコンテナイメージのデプロイメントコンテキストとランタイムリスクシグナルが表示されます。このコンテキストを活用することで、特にDynatraceが高リスクのランタイム状態を検出した場合に、デプロイ済みのアーティファクトに影響するアラートへの対応に集中できます。
GitHubにおけるランタイムコンテキストの使用方法
デプロイメントの可視性とランタイムリスクシグナルを用いて、アラートページおよびセキュリティキャンペーンにおいて、GitHubコードスキャニングとDependabotのアラートをフィルタリングおよび優先度付けできます。例えば、デプロイ済みのアーティファクトに影響し、かつインターネットに公開されている脆弱性のみに、膨大なリストを絞り込むことが可能です:
has:deployment AND runtime-risk:internet-exposed
ランタイムリスクシグナルには以下が含まれます:
- パブリックインターネットへの公開 (
runtime-risk:internet-exposed) - 機密データ資産へのアクセス (
runtime-risk:sensitive-data)
提供状況
この機能は、GitHub Enterprise Cloudのお客様に一般提供されています。
GitHub Advanced SecurityとのDynatrace連携の構成方法については、Dynatraceのドキュメントをご覧ください。
投稿「Dynatraceのランタイムコンテキストによるセキュリティアラートの優先度付け」は、The GitHub Blogで最初に公開されました。
原文を表示
You can now use runtime context from Dynatrace to prioritize GitHub Advanced Security alerts based on deployed artifacts and runtime risk in your Kubernetes environment.
When you connect Dynatrace to GitHub, you’ll see deployment context for container images that Dynatrace maps to your repositories, along with runtime risk signals. You can use this context to focus remediation on alerts that affect deployed artifacts, especially when Dynatrace detects higher-risk runtime conditions.
How to use runtime context in GitHub
You can use deployment visibility and runtime risk signals to filter and prioritize GitHub code scanning and Dependabot alerts, both on the alert pages and in security campaigns. For example, you can filter a large list down to just those vulnerabilities that affect deployed artifacts and are exposed to the internet:
has:deployment AND runtime-risk:internet-exposed
Runtime risk signals include:
Public internet exposure (runtime-risk:internet-exposed).
Access to sensitive data assets (runtime-risk:sensitive-data).
Availability
This feature is generally available for GitHub Enterprise Cloud customers.
To learn how to configure the Dynatrace integration with GitHub Advanced Security, see Dynatrace’s documentation.
The post Prioritize security alerts with runtime context from Dynatrace appeared first on The GitHub Blog.
関連記事
Vercel Blob が OIDC 認証をサポートし、新規プロジェクト接続時のデフォルト設定に
Vercel は Vercel Blob の新機能として OIDC 認証のサポートを開始しました。これにより、新しいプロジェクト接続時に OIDC がデフォルトとなり、短期間で自動回転するトークンが利用可能になります。その結果、従来の長期有効な BLOB_READ_WRITE_TOKEN を不要とし、セキュリティを強化します。
CodeQLが「models-as-data」形式でサニタイザーとバリデーターをサポート
GitHubのCodeQLは、主要言語でサニタイザーとバリデーターを「models-as-data」形式で定義可能にした。これにより、ユーザーは汚染データ追跡をカスタマイズできる。
ルールインサイトダッシュボードと統一フィルターバー
GitHubがリポジトリのルール評価活動を視覚的に把握できる「ルールインサイトダッシュボード」を提供開始。ユーザーは成功・失敗・バイパスの推移や主要バイパス利用者を一目で確認できる。