DependabotとコードスキャンへのOIDCサポート
GitHubは、組織レベルでDependabotとコードスキャンがプライベートレジストリに対してOpenID Connect(OIDC)認証をサポートすることを発表し、長期間有効な認証情報をリポジトリシークレットとして保存する必要がなくなった。
キーポイント
組織レベルでのOIDC認証サポート
GitHub Dependabotとコードスキャンが、組織レベルで設定されたプライベートレジストリに対してOpenID Connect(OIDC)認証をサポートするようになった。これにより、組織管理者は組織全体でレジストリアクセスを一元管理できる。
セキュリティ向上と運用効率化
OIDCベースの認証により、クラウドIDプロバイダーから短命の認証情報を動的に取得できるようになり、長期間有効な認証情報をリポジトリシークレットとして保存する必要がなくなる。
サポート対象レジストリの拡大
現在はAWS CodeArtifact、Azure DevOps Artifacts、JFrog Artifactoryをサポートしており、今後4週間以内にCloudsmithとGoogle Artifact Registryのサポートも追加される予定。
一般提供開始とエンタープライズ対応
この機能はgithub.comで一般提供が開始され、GitHub Enterprise Server 3.22にも搭載される予定である。
影響分析・編集コメントを表示
影響分析
この機能拡張は、DevSecOpsプラクティスの重要な要素であるセキュリティ自動化と認証管理を強化する。組織レベルでの一元管理により、大規模な開発チームにおけるセキュリティポリシーの一貫した適用と運用負荷の軽減が期待できる。特に、複数のクラウドプロバイダーを利用する企業にとって、認証情報管理の標準化とリスク低減に貢献する。
編集コメント
GitHubのセキュリティ機能強化として実用的なアップデート。特に大規模組織でのDevSecOps実践において、認証管理の負荷軽減とセキュリティ向上の両立を実現する点で価値が高い。
タイトル: DependabotとコードスキャンにおけるOIDCサポート
Dependabotとコードスキャンが、組織レベルで設定されたプライベートレジストリに対するOpenID Connect(OIDC)認証をサポートするようになりました。これにより、長期間有効な認証情報をリポジトリシークレットとして保存する必要がなくなります。
新機能
組織管理者は、組織全体のプライベートレジストリに対してOIDCベースの認証情報を設定できるようになりました。OIDCベースの認証では、OIDC連携を利用するGitHub Actionsワークフローと同様に、クラウドIDプロバイダーから短時間のみ有効な認証情報を動的に取得できます。この機能は、リポジトリレベルのdependabot.yml設定ファイルにおけるOIDC認証の既存サポートを基盤としており、それを組織レベルに拡張したものです。これにより、組織内の全リポジトリに対するレジストリへのアクセスを一元的に管理できます。
サポート対象レジストリ
- AWS CodeArtifact
- Azure DevOps Artifacts
- JFrog Artifactory
今後4週間以内に、CloudsmithとGoogle Artifact Registryのサポートも追加される予定です。
この機能は現在、github.comで一般提供されており、GitHub Enterprise Server 3.22にも搭載される予定です。
組織レベルでのDependabotとコードスキャン向けOIDC設定の詳細については、こちらをご覧ください。コミュニティディスカッションにもご参加いただけます。
この投稿「OIDC support for Dependabot and code scanning」は、The GitHub Blogに最初に掲載されました。
原文を表示
Dependabot and code scanning now support OpenID Connect (OIDC) authentication for private registries configured at the organization level, eliminating the need to store long-lived credentials as repository secrets.
What’s new
Organization administrators can configure OIDC-based credentials for private registries across their organization. With OIDC-based authentication, you can dynamically obtain short-lived credentials from your cloud identity provider, just like GitHub Actions workflows using OIDC federation. This builds on earlier support for OIDC authentication in repository-level dependabot.yml configuration files and extends it to the organization level, so you can centrally manage registry access for all repositories in your org.
Supported registries
AWS CodeArtifact
Azure DevOps Artifacts
JFrog Artifactory
Within the next four weeks, we will add support for Cloudsmith and Google Artifact Registry.
This feature is now generally available on github.com and will ship in GitHub Enterprise Server 3.22.
Learn more about configuring OIDC for Dependabot and code scanning at the organization level. You can also join the community discussion.
The post OIDC support for Dependabot and code scanning appeared first on The GitHub Blog.
関連記事
デプロイ保護のための信頼できるソース機能
Vercel は、保護されたデプロイメントが OIDC トークンを受け入れる「Trusted Sources」機能を導入し、自動化シークレットの共有不要化を実現した。
Git Push パイプラインの保護:重大なリモートコード実行脆弱性への対応
Wiz の研究者が報告した GitHub 上の重大な脆弱性に対し、GitHub は2時間以内に修正を適用し、調査で悪用は確認されなかったと発表した。
GitHub のエージェント計画に関する Kyle Daigle とのインタビュー
Microsoft の Satya Nadella 氏と共同で AI Engineer World's Fair に参加し、Kyle Daigle が GitHub のエージェント戦略や Copilot の稼働率について質問に答えた。