非アクティブなリポジトリの定期コードスキャン機能
GitHub は、6 ヶ月以上更新がない非アクティブなリポジトリに対しても自動的に 30 日ごとにセキュリティスキャンを実行する機能を導入し、組織全体の継続的なセキュリティカバレッジを強化した。
キーポイント
非アクティブリポジトリの自動スキャン機能
6 ヶ月以上プッシュやプルリクエストがないリポジトリに対し、自動的に 30 日ごとにセキュリティスキャンを実行する機能が追加された。
組織全体のセキュリティカバレッジ維持
開発が終了したコードベースを含むすべてのリポジトリを監視対象とし、セキュリティの抜け漏れを防ぐことを目的としている。
設定方法と適用範囲
この機能は「Settings > Advanced Security > Global Settings」から有効化可能であり、組織内の全リポジトリ(デフォルトセットアップ使用時)に適用される。
影響分析・編集コメントを表示
影響分析
この機能は、開発が終了したレガシーコードやアーカイブされたプロジェクトにおけるセキュリティリスクを可視化し、組織全体のセキュリティ態勢の抜け漏れを大幅に削減する効果がある。特に大規模なリポジトリを持つ企業において、人的コストをかけずに継続的なセキュリティ監査を実現する重要なステップとなる。
編集コメント
開発が終了したコードのセキュリティリスクは見過ごされがちだが、この自動化機能により『忘れられた資産』の監視も可能となり、実務的なセキュリティ対策として即座に導入価値が高い。
GitHub のコードスキャン機能は、6 ヶ月以上プッシュやプルリクエストが行われていないリポジトリに対して、スケジュールされたセキュリティスキャンをサポートするようになりました。組織はこの機能を使用して、アクティブな開発が終了したコードベースを含むすべてのリポジトリにわたって継続的なセキュリティカバレッジを維持できます。この設定は、コードスキャンのデフォルトセットアップを使用しているリポジトリのみを対象とします。
有効化すると、非アクティブなリポジトリは自動的に 30 日ごとにスキャンされます。この設定は組織内のすべてのリポジトリに適用されます。[Settings > Advanced Security > Global Settings](設定 > 高度なセキュリティ > グローバル設定)から、「Keep scheduled scans running every 30 days for inactive repositories」(非アクティブなリポジトリに対してスケジュールされたスキャンを 30 日ごとに実行し続ける)オプションを有効にすることで、この機能をオンにできます。
詳細については、組織のグローバルセキュリティ設定の構成方法をご覧ください。
本記事「Periodic code scanning of inactive repositories」は、The GitHub Blog に最初に掲載されました。
原文を表示
GitHub code scanning now supports scheduled security scans of repositories that have had no pushes or pull requests for six months or more. Organizations can use this to maintain continuous security coverage across all their repositories, including codebases that are no longer under active development. This setting only applies to repositories that use code scanning default setup.
When enabled, inactive repositories are automatically scanned every 30 days. This setting applies to all repositories in the organization. You can turn this on from Settings > Advanced Security > Global Settings by enabling Keep scheduled scans running every 30 days for inactive repositories.
To learn more, see configuring global security settings for your organization.
The post Periodic code scanning of inactive repositories appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み