GitHub Advanced Security トライアル実践ガイド

GitHub Advanced Security（GHAS）のトライアルは、エンタープライズレベルのセキュリティ機能を実環境で評価できる貴重な機会です。本記事では、公式ドキュメントをもとに、トライアルを最大限活用するための実践的なアプローチを解説します。

1. トライアルの前提条件

まず、セルフサービストライアルが適しているかを確認しましょう。以下の条件を満たす必要があります。

1.1 技術的要件

• GitHub Enterprise Cloudの既存顧客であること
• クレジットカードまたはPayPalで支払いを行っていること
• エンタープライズアカウントのオーナー権限を持っていること
• 過去にGHASを購入したことがないこと
• 従量課金制を使用していないこと
• 過去にトライアルを実施した場合は、1回までで、かつ180日以上経過していること

これらの条件を満たさない場合、特に請求書払いの場合は、GitHubのセールスチームに連絡して専門家のサポートを受けることをお勧めします。

1.2 トライアルの範囲

• 期間：30日間
• ライセンス：50ライセンス
• 料金：トライアル期間中は無料（ただし、コードスキャンやその他のワークフローで使用されるActions分数は課金対象）

2. フェーズ1：計画立案

トライアルを成功させるには、事前の計画が不可欠です。

2.1 会社の目標を定義する

トライアルを開始する前に、達成したい目標と答えるべき質問を明確にします。強力な目標設定により、発見を最大化し、アップグレードするかどうかを決定するために必要な情報を確実に得られるようにトライアルを計画できます。

既にGitHubを使用している場合は、Secret ProtectionやCode Securityが対処できる、現在満たされていないニーズを検討してください。また、現在のアプリケーションセキュリティポスチャと長期的な目標も考慮する必要があります。

以下は具体例です。

達成したいこと	検証すべき機能
セキュリティ機能の利用を強制する	エンタープライズレベルのセキュリティ設定とポリシー
カスタムアクセストークンを保護する	シークレットスキャンのカスタムパターン、プッシュ保護の委任バイパス、有効性チェック
開発プロセスを定義・強制する	依存関係レビュー、自動トリアージルール、ルールセット、ポリシー
大規模な技術的負債を削減する	セキュリティキャンペーン
セキュリティリスクの傾向を監視・追跡する	セキュリティ概要

GitHubをまだ使用していない場合は、プラットフォームがデータレジデンシー、セキュアなアカウント管理、リポジトリ移行をどのように処理するかなど、追加的な質問がある可能性があります。

2.2 トライアルチームのメンバーを特定する

GitHub Advanced Securityは、ソフトウェア開発ライフサイクル全体にセキュリティ対策を統合できるため、開発サイクルのすべての領域から代表者を含めることが重要です。そうしないと、必要なすべてのデータを持たずに意思決定するリスクがあります。トライアルには50ライセンスが含まれており、幅広い人々からの代表を含める範囲があります。

また、調査したい各会社ニーズに対してチャンピオンを特定すると役立つ場合があります。

2.3 予備調査の必要性を判断する

トライアルを開始する前に、チームが無料のセキュリティ機能の実践経験から恩恵を受けるかどうかを決定します。パブリックリポジトリでコードスキャンとシークレットスキャンをテストすることで、新規ユーザーがGitHub Advanced Securityのコア機能に慣れることができます。これにより、トライアル期間をプライベートリポジトリと、Secret ProtectionおよびCode Securityで利用可能な高度な機能と制御に集中できます。

組織はGitHub TeamとGitHub Enterpriseで無料レポートを実行して、コードをスキャンして漏洩したシークレットを検出できます。これにより、リポジトリの現在の漏洩したシークレットへの露出を評価し、Secret Protectionによって防止できた既存のシークレット漏洩の数を示すことができます。

2.4 テスト対象の組織とリポジトリを決定する

一般的には、既存の組織でトライアルを開始するのが最適です。これにより、よく知っているリポジトリで機能を体験でき、慣れ親しんだコーディング環境内で作業できます。

必要に応じて、後でテスト組織やコードを追加できます。ただし、WebGoatなどの意図的に安全でないアプリケーションは最適なテストではないことに注意してください。これらには、安全でないように見えるが、コードスキャンが悪用できないと判断するコーディングパターンが含まれている可能性があります。その結果、コードスキャンは、これらの人工的なコードベースで他のセキュリティスキャナーよりも少ない問題を報告する可能性があります。

2.5 トライアルの評価基準を定義する

トライアルに設定した各会社ニーズまたは目標について、成功をどのように測定するかを決定します。例えば、セキュリティ機能の使用を強制したい場合は、セキュリティ設定とポリシーのテストケースを作成して、期待通りに動作することを確認します。

3. フェーズ2：トライアルの開始とセキュリティ機能の有効化

3.1 トライアルの開始

既にGitHub Enterprise Cloudを使用している場合（有料顧客として、または無料トライアルの一部として）は、GitHub Advanced Securityのトライアルを設定できます。

そうでない場合は、GitHub Enterprise Cloudのトライアルの一部としてGitHub Advanced Securityをトライアルできます。

開始手順：

1. GitHubの右上隅でプロフィール写真をクリック
2. 環境に応じて「Your enterprise」または「Your enterprises」をクリックし、トライアルエンタープライズをクリック
3. ページ上部の「Billing and licensing」をクリック
4. 「Licensing」をクリックして、ライセンス使用の詳細情報を表示
5. 「GitHub Advanced Security」の右側の「Start free trial」をクリック
6. 「Start trial」をクリック

3.2 エンタープライズセキュリティ設定の作成

トライアルを計画した際に、テストしたい機能と必要な強制レベルを特定しました。これらの機能を有効にし、必要な強制レベルを設定する、エンタープライズ用の1つ以上のセキュリティ設定を作成する必要があります。

設定手順：

1. GitHubの右上隅でプロフィール写真をクリック
2. 環境に応じて「Your enterprise」をクリック、または「Your enterprises」をクリックしてからトライアルエンタープライズをクリック
3. ページ上部の「Settings」をクリック
4. 左サイドバーで「Advanced Security」をクリック
5. 「New configuration」をクリックして新しい設定を作成
6. 設定に意味のある名前と説明を付ける
7. ほとんどの機能が既に有効になっていることがわかります。「Not set」の機能を確認し、トライアルしたい機能（例：「Automatic dependency submission」）を有効化
8. 「Policy」エリアで、「Use as default for newly created repositories」オプションを必要に応じて設定し、エンタープライズで新しく作成されるリポジトリに設定を適用するかどうかを定義
9. 「Policy」エリアで、「Enforce configuration」オプションが「Enforce」に設定されていることを確認します。これにより、設定をリポジトリに適用すると、「Not set」のまま残されたもの以外のすべての設定が強制されます
10. 設定の定義が完了したら、「Save configuration」をクリック

Tip：Advanced Securityをテスト中は、セキュリティ設定を変更せずに必要に応じてリポジトリ設定を最適化できるように、これを「Don't enforce」に変更することをお勧めします。

新しいエンタープライズセキュリティ設定が、エンタープライズレベルおよびエンタープライズ内のすべての組織内で使用できるようになりました。

3.3 エンタープライズセキュリティ設定をリポジトリに適用する

エンタープライズセキュリティ設定は、エンタープライズレベルまたは組織レベルで適用できます。最適なオプションは、設定をエンタープライズ内のすべてのリポジトリに適用するか、リポジトリのサブセットに適用するかによって異なります。

適用オプション：

• エンタープライズレベルの適用：エンタープライズ内のすべてのリポジトリ、またはエンタープライズ内の既存の設定がないすべてのリポジトリにエンタープライズ設定を追加
• 組織レベルの適用：組織内のすべてのリポジトリ、または組織内の既存の設定がないすべてのリポジトリにエンタープライズまたは組織設定を追加。または、組織内のリポジトリのサブセットにエンタープライズまたは組織設定を追加

エンタープライズセキュリティ設定をエンタープライズ内のすべてのリポジトリに適用し、その後組織レベルで作業してリポジトリのサブセットを選択し、代替のセキュリティ設定を適用すると役立つ場合があります。

3.3.1 エンタープライズレベルでの適用

1. トライアルエンタープライズを開く
2. サイドバーで「Settings」をクリックし、次に「Advanced Security」をクリックしてセキュリティ設定ページを表示
3. 適用したい設定について、「Apply to」をクリックし、エンタープライズ内のすべてのリポジトリに設定を適用するか、既存のセキュリティ設定がないリポジトリのみに適用するかを選択

3.3.2 組織レベルでの適用

1. トライアルエンタープライズ内の組織を開く
2. 「Settings」タブをクリックして組織設定を表示
3. サイドバーで「Advanced Security」をクリックし、次に「Configurations」をクリックしてセキュリティ設定ページを表示
4. オプションで、「Apply to」ドロップダウンメニューを選択し、「All repositories」をクリックして組織内のすべてのリポジトリに任意の設定を適用するか、「All repositories without configurations」をクリックして既存のセキュリティ設定がない組織内のリポジトリのみを設定
5. オプションで、「Apply configurations」セクションで「Search repositories」フィールドまたは「Filter」ボタンを使用してリポジトリをフィルタリング。次に、1つ以上のリポジトリを選択し、「Apply configuration」ボタンを使用してそれらのリポジトリに適用する設定を選択

4. フェーズ3：Secret Protectionの探索

4.1 概要

GitHub Secret Protection機能は、プライベートおよび内部リポジトリで、すべてのパブリックリポジトリと同じように動作します。この記事では、GitHub Secret Protectionを使用する際にビジネスをセキュリティ漏洩から保護するために使用できる追加機能に焦点を当てています。

• 使用する追加のアクセストークンをカスタムパターンを定義して識別
• AIを使用して潜在的なパスワードを検出
• プッシュ保護とシークレットスキャンアラートのバイパスプロセスを制御および監査
• 露出したトークンの有効性チェックを有効化
• セキュリティスペシャリストと開発者が協力して技術的負債を効果的に削減できるセキュリティキャンペーンを作成

既に無料のシークレットリスク評価を使用して組織内のコードをスキャンして漏洩したシークレットを検出している場合は、組織の「Security」タブの追加ビューを使用して、そのデータをより完全に調査することもできます。

4.2 Secret Protectionのセキュリティ設定

ほとんどのエンタープライズは、これらの機能を有効にしたセキュリティ設定を適用することで、すべてのリポジトリでプッシュ保護を備えたSecret Protectionを有効にすることを選択しています。これにより、既にGitHubに追加されたアクセストークンがリポジトリでチェックされ、さらにユーザーがGitHubでトークンを漏洩させようとしているときにフラグが立てられます。

4.3 Secret Scanningの結果を表示するアクセスを提供する

デフォルトでは、リポジトリ管理者と組織オーナーのみが、自分のエリア内のすべてのシークレットスキャンアラートを表示できます。トライアル中に見つかったアラートにアクセスさせたいすべての組織チームとユーザーに、事前定義されたセキュリティマネージャーロールを割り当てる必要があります。また、トライアル内の各組織にこのロールをエンタープライズアカウントオーナーに付与することもできます。

トライアルエンタープライズ内の組織で見つかった結果のサマリーを、エンタープライズの「Security」タブで確認できます。各タイプのセキュリティアラートには個別のビューもあります。

4.4 追加のアクセストークンを識別する

リポジトリ、組織、エンタープライズレベルでカスタムパターンを作成して、追加のアクセストークンを識別できます。ほとんどの場合、エンタープライズレベルでカスタムパターンを定義する必要があります。これにより、パターンがエンタープライズ全体で使用されるようになります。また、トークンの形式が変更されたときにパターンを更新する必要がある場合、メンテナンスが容易になります。

カスタムパターンを作成して公開すると、シークレットスキャンとプッシュ保護の両方が、すべてのスキャンで新しいパターンを自動的に含めます。

4.5 AIを使用して潜在的なパスワードを検出する

エンタープライズレベルでは、正規表現を使用して識別できないシークレット（一般的なシークレットまたは非プロバイダーパターンとも呼ばれる）を検出するためにAIの使用を許可するかどうかを完全に制御できます。

• エンタープライズ全体で機能をオンまたはオフにする
• 組織およびリポジトリレベルでの機能の制御をブロックするポリシーを設定
• 組織オーナーまたはリポジトリ管理者が機能を制御できるようにするポリシーを設定

カスタムパターンと同様に、AI検出を有効にすると、シークレットスキャンとプッシュ保護の両方が、すべてのスキャンでAI検出を自動的に使用し始めます。

4.6 バイパスプロセスを制御および監査する

プッシュ保護がGitHub Secret Protectionのないパブリックリポジトリへのプッシュをブロックすると、ユーザーには2つの簡単なオプションがあります。制御をバイパスするか、ブランチとその履歴から強調表示されたコンテンツを削除します。プッシュ保護をバイパスすることを選択した場合、シークレットスキャンアラートが自動的に作成されます。これにより、開発者は作業を迅速にブロック解除しながら、シークレットスキャンによって識別されたコンテンツの監査証跡を提供できます。

大規模チームは通常、アクセストークンやその他のシークレットの潜在的な公開に対してより厳格な制御を維持したいと考えています。GitHub Secret Protectionを使用すると、プッシュ保護をバイパスするリクエストを承認するレビュアーグループを定義でき、開発者が誤ってまだアクティブなトークンを漏洩させるリスクを軽減できます。また、シークレットスキャンアラートを却下するリクエストを承認するレビュアーグループを定義することもできます。

レビュアーは、組織レベルのセキュリティ設定またはリポジトリの設定で定義されます。

4.7 有効性チェックを有効にする

リポジトリ、組織、エンタープライズレベルで有効性チェックを有効にして、検出されたトークンがまだアクティブかどうかを確認できます。一般的には、エンタープライズまたは組織レベルのセキュリティ設定を使用して、エンタープライズ全体でこの機能を有効にする価値があります。

4.8 セキュリティ修復に開発者を参加させる

セキュリティキャンペーンは、セキュリティチームが開発者と協力してセキュリティ技術的負債を修復する方法を提供します。また、シークレットストレージに関する教育と、開発者が修正できる露出したシークレットの例を組み合わせる実践的な方法も提供します。

5. フェーズ4：Code Securityの探索

5.1 概要

コードスキャンと依存関係分析は、パブリックリポジトリと、Code Securityが有効になっているプライベートおよび内部リポジトリで同じように動作します。さらに、Code Securityを使用すると、セキュリティスペシャリストと開発者が協力して技術的負債を効果的に削減できるセキュリティキャンペーンを作成できます。

この記事では、これらの機能をエンタープライズレベルの制御と組み合わせて、開発プロセスを標準化および強制する方法に焦点を当てています。

5.2 セキュリティ設定を調整する

Secret Protectionとは対照的に、単一のセキュリティ設定が通常すべてのリポジトリに適用されますが、異なるタイプのリポジトリに対してコードスキャンの設定を微調整したい場合があります。例えば、次のような追加の設定を作成する必要がある場合があります。

• 特殊な環境を必要とするリポジトリまたはプライベートレジストリを使用するリポジトリに適用するために、特定のラベルを持つランナーをコードスキャンが使用する
• 高度なセットアップまたはサードパーティツールを必要とするリポジトリに適用するために、コードスキャンを「Not set」にする

トライアルでは、プライマリのエンタープライズレベルのセキュリティ設定を作成してテストリポジトリに適用するのが最も簡単です。次に、必要な追加のセキュリティ設定を作成し、コード言語、カスタムプロパティ、可視性、その他のフィルタオプションを使用して選択されたリポジトリのサブセットに適用できます。

5.3 コードスキャンの結果を表示するアクセスを提供する

デフォルトでは、リポジトリ管理者と組織オーナーのみが、自分のエリア内のすべてのコードスキャンアラートを表示できます。トライアル中に見つかったアラートにアクセスさせたいすべての組織チームとユーザーに、事前定義されたセキュリティマネージャーロールを割り当てる必要があります。また、トライアル内の各組織にこのロールをエンタープライズアカウントオーナーに付与することもできます。

5.4 デフォルトセットアップからの結果を評価および改善する

コードスキャンのデフォルトセットアップは、高信頼度のクエリセットを実行します。これらは、コードスキャンをコードベース全体に展開する際に、開発者が偽陽性の結果が少ない高品質な結果の限定セットを見られるように選択されています。

トライアルエンタープライズ内の組織で見つかった結果のサマリーを、エンタープライズの「Security」タブで確認できます。各タイプのセキュリティアラートには個別のビューもあります。

コードスキャンで期待する結果が表示されない場合は、より多くの結果を期待していたリポジトリに対して拡張クエリスイートを実行するようにデフォルトセットアップを更新できます。これはリポジトリレベルで制御されます。

Tip：コードスキャンのリポジトリ設定の編集がブロックされている場合は、リポジトリで使用されているセキュリティ設定を編集して、設定が強制されないようにします。

拡張スイートでも期待する結果が見つからない場合は、分析を完全にカスタマイズできるように高度なセットアップを有効にする必要がある場合があります。

5.5 プルリクエストの自動分析を強制する

GitHubには、3種類の自動プルリクエスト分析が組み込まれています。

• コードスキャン分析：クエリを使用して、既知の不適切なコーディングパターンとセキュリティ脆弱性をハイライトします。Copilot Autofixは、コードスキャンによって識別された問題の修正を提案します。
• 依存関係レビュー：プルリクエストによって行われた依存関係の変更を要約し、既知の脆弱性がある依存関係や開発標準を満たさない依存関係をハイライトします。
• Copilotコードレビュー：AIを使用して変更に関するフィードバックを提供し、可能な限り修正を提案します。

これらの自動レビューは、セルフレビューの貴重な拡張であり、開発者がピアレビューのためにより完全でセキュアなプルリクエストを提示することを容易にします。さらに、コードスキャンと依存関係レビューを強制して、コードのセキュリティとコンプライアンスを保護できます。

注意：GitHub Copilot Autofixは、GitHub Code Securityのライセンスに含まれています。Copilotコードレビューには、有料のCopilotプランが必要です。

5.5.1 コードスキャン分析

コードスキャンが有効になっている場合、エンタープライズまたは組織のコードルールセットを作成することで、プルリクエストが要件を満たさない限り、重要なブランチへのマージをブロックできます。通常は、コードスキャンの結果が存在し、重要なアラートが解決されていることを要求します。

ルールセット設定：

• ルールセットのタイプ：ブランチ
• コードスキャン結果を要求：有効にして、結果がコミットとプルリクエストがターゲットとする参照に対して正常に生成されるまでマージをブロック
• 必須ツールとアラートしきい値：使用する各コードスキャンツールについて、プルリクエストをマージする前に解決する必要があるアラートのレベルを定義

すべてのルールセットと同様に、適用する組織（エンタープライズレベル）、リポジトリ、ブランチを正確に制御でき、ルールをバイパスできるロールまたはチームも定義できます。

5.5.2 依存関係レビュー

Code Securityと依存関係グラフがリポジトリに対して有効になっている場合、マニフェストファイルには、追加または更新する依存関係のサマリーを示すリッチdiffビューがあります。これは、プルリクエストの人間のレビュアーにとって有用なサマリーですが、コードベースに追加される依存関係の制御は提供しません。

ほとんどのエンタープライズは、既知の脆弱性や未サポートのライセンス条項を持つ依存関係の使用をブロックする自動チェックを設置しています。

実装手順：

1. エンタープライズの再利用可能なワークフローを保存する中央ホームとして機能するプライベートリポジトリを作成
2. リポジトリのアクション設定を編集して、エンタープライズ内のすべてのプライベートリポジトリがこの中央リポジトリのワークフローにアクセスできるようにする
3. 中央リポジトリで、依存関係レビューアクションを実行する再利用可能なワークフローを作成し、ビジネスニーズに合わせてアクションを設定
4. 各組織で、ブランチルールセットを作成または更新して、必須ステータスチェックに新しいワークフローを追加

これにより、1か所で設定を更新しながら、多数のリポジトリでワークフローを使用できます。この中央リポジトリを使用して他のワークフローを維持することもできます。

依存関係レビューアクションの設定例：

# .github/workflows/dependency-review.yml
name: "依存関係レビュー"
on:
  pull_request:

permissions:
  contents: read
  pull-requests: write

jobs:
  dependency-review:
    runs-on: ubuntu-latest
    steps:
      - name: "チェックアウト"
        uses: actions/checkout@v4
        
      - name: "依存関係レビュー"
        uses: actions/dependency-review-action@v4
        with:
          # ビジネスニーズに合わせて設定
          fail-on-severity: critical
          deny-licenses: GPL-2.0, GPL-3.0

5.5.3 Copilotレビュー

注意：組織からCopilotサブスクリプションを取得している場合、組織または企業のオーナーがGitHub Copilotポリシーページの「Opt in to preview features」を有効にしている場合にのみ、GitHub.comのパブリックプレビューに参加できます。

デフォルトでは、ユーザーは人間のレビュアーと同じ方法でCopilotにレビューをリクエストします。ただし、組織レベルのブランチルールセットを更新または作成して、選択したブランチへのすべてのプルリクエストにCopilotをレビュアーとして自動的に追加することができます。

Copilotは各プルリクエストにレビューコメントを残しますが、プルリクエストを承認したり変更を要求したりしません。これにより、レビューは助言的なものとなり、開発作業をブロックしません。同様に、AI提案には既知の制限があるため、Copilotによる提案の解決を強制すべきではありません。

5.6 Copilot Autofixが許可および有効になっている場所を定義する

Copilot Autofixは、開発者がプルリクエストで見つかったコードスキャンアラートを理解して修正するのに役立ちます。開発者がアラートを効率的に解決し、セキュアコーディングの理解を深めるために、Code Securityが有効になっているすべてのリポジトリでこの機能を有効にすることをお勧めします。

2つのレベルの制御があります。

• エンタープライズ：「Advanced Security」ポリシーを使用して、エンタープライズ全体でCopilot Autofixの使用を許可またはブロックできます
• 組織：組織の「Global settings」で、組織所有のすべてのリポジトリに対してCopilot Autofixを有効化または無効化できます

5.7 セキュリティ修復に開発者を参加させる

セキュリティキャンペーンは、セキュリティチームが開発者と協力してセキュリティ技術的負債を修復する方法を提供します。また、セキュアコーディングに関する教育と、開発者が慣れ親しんでいるコード内の脆弱なコードの例を組み合わせる実践的な方法も提供します。

5.8 セキュアな開発環境を提供する

開発環境には多くのコンポーネントがあります。GitHubでセキュアな開発環境を拡張および標準化するための最も有用な機能のいくつかは次のとおりです。

• セキュリティ設定：エンタープライズ、組織、組織リポジトリのサブセット、または新しいリポジトリのセキュリティ機能のセットアップを定義
• ポリシー：エンタープライズまたは組織のリソースの使用を保護および制御
• ルールセット：組織、組織リポジトリのサブセット、またはリポジトリのブランチ、タグ、プッシュを保護および制御
• リポジトリテンプレート：各タイプの環境に必要なセキュリティワークフローとプロセスを定義

例えば、各テンプレートには以下のような特殊なものが含まれる場合があります。

• 会社のセキュリティスタンスとセキュリティ上の懸念を報告する方法を定義するセキュリティポリシーファイル
• 会社が使用するパッケージマネージャーに対してDependabotバージョン更新を有効にするワークフロー
• サポートされている開発言語に対してコードスキャンの高度なセットアップを定義するワークフロー（デフォルトセットアップの結果が不十分な場合）

さらに、開発者がテンプレートからリポジトリを作成する際、必須のカスタムプロパティの値を定義する必要があります。カスタムプロパティは、設定、ポリシー、またはルールセットを適用したいリポジトリのサブセットを選択するのに非常に便利です。

6. トライアルの完了

6.1 トライアルの終了

いつでもSecret ProtectionまたはCode Securityのライセンスを購入することで、トライアルを終了できます。30日間の終わりまでに購入しなかった場合、トライアルは期限切れになります。

メータリング課金でGitHub Enterprise Cloudの料金を支払っているが、GitHub Advanced Securityの無料トライアルを設定していない場合でも、メータリングベースの課金を使用して、GitHub Enterprise Cloudトライアルの終了後にAdvanced Security製品の料金を支払うことができます。

6.2 購入手順

1. GitHubの右上隅でプロフィール写真をクリック
2. 環境に応じて「Enterprise」をクリック、または「Enterprises」をクリックしてから表示したいエンタープライズをクリック
3. ページ上部の「Settings」をクリック
4. ページ上部の「Billing and licensing」をクリック
5. 「Licensing」をクリックして、ライセンス使用の詳細情報を表示
6. 「GitHub Advanced Security trial」の右側で、「Manage」ドロップダウンメニューを選択し、「Purchase」をクリック
7. 請求情報と支払い方法を確認
8. 「Purchase Advanced Security」をクリック

注意：GitHubは、事前に使用量ベースのコストの値の一時的な認証保留を適用する場合があり、これはアカウントの支払い方法に保留中の請求として表示されます。

Tip：ボリューム/サブスクリプション課金を使用してGitHubの料金を支払う場合は、購入するライセンス数も定義する必要があります。

• 「How many committers do you want to include?」で、ライセンスを購入するコミッターの数を入力

7. まとめ

GitHub Advanced Securityのトライアルは、エンタープライズレベルのセキュリティ機能を実際の環境で評価する機会です。本記事で解説した内容を実践することで、以下の点を確認できます。

7.1 計画段階でのポイント

• 明確な目標設定と評価基準の定義
• 適切なチーム編成による包括的な評価
• テスト対象の慎重な選択

7.2 実装段階でのポイント

• エンタープライズレベルでの統一的な設定管理
• 段階的な機能の有効化
• 継続的な調整と最適化

7.3 運用段階でのポイント

• セキュリティキャンペーンによる協働的な問題解決
• 自動化されたチェックによる品質保証
• 開発プロセスへのシームレスな統合

30日間という期間で、Secret ProtectionとCode Securityの真の価値を理解し、自社のセキュリティポスチャ向上に向けた適切な判断ができるでしょう。技術的負債の削減、開発プロセスの標準化、セキュリティリスクの可視化など、GHASが提供する価値は単なるツールの導入を超えた、セキュリティを開発ライフサイクル全体に統合するための包括的なアプローチです。