秘密厳守WEBからお問い合わせまずは資料請求
AI総合研究所

GitHub、ソフトウェアのサプライチェーンセキュリティ強化に向けArtifact Attestations機能をパブリックベータで導入

この記事のポイント

  • この記事はGitHubが新たに公開した「Artifact Attestations」というセキュリティ機能について解説しています。
  • セキュリティ機能にはソフトウェアの出所と真正性を確認する署名付きアテステーションが含まれ、開発者は署名プロセスを簡単に実行できます。

監修者プロフィール

坂本 将磨

Microsoft AIパートナー、LinkX Japan代表。東京工業大学大学院で技術経営修士取得、研究領域:自然言語処理、金融工学。NHK放送技術研究所でAI、ブロックチェーン研究に従事。学会発表、国際ジャーナル投稿、経営情報学会全国研究発表大会にて優秀賞受賞。シンガポールでのIT、Web3事業の創業と経営を経て、LinkX Japan株式会社を創業。

GitHubが開発者たちに向けて、ソフトウェアのサプライチェーンセキュリティの深化を図る新機能「Artifact Attestations」をパブリックベータ版として公開しました。
この機能は、開発されたソフトウェアの出所と真正性を証明する署名付きアテステーションを提供することで、サプライチェーン全体の透明性を向上させます。
また、GitHub Actionsによる署名プロセスのシンプル化により、開発者は容易にセキュリティ対策を講じることが可能となり、エンドユーザーに信頼性の高い製品を提供できるようサポートします。
本記事ではこれらの革新的なセキュリティ機能について詳細に解説し、GitHubコミュニティに提供される新たな価値とその影響について紹介しています。

thumbnail

GitHub新セキュリティ機能公開

2024年、GitHubは開発者のコミュニティに向けて、新しいセキュリティ機能を発表しました。
これらの改善は、ソフトウェアの安全性を確保するために、開発プロセス全体にわたってセキュリティチェックを強化します。

具体的には、署名付きアテステーションの導入、サプライチェーンの透明性向上、そしてGitHub Actionsの署名プロセスの簡素化が挙げられます。

これらの新機能により、開発者はソフトウェアをより安全に、そして信頼性のある方法で提供できるようになります。
GitHubの取り組みは、サプライチェーンのセキュリティを向上させることによって、エンドユーザーにとっても安全な製品の提供につながります。

署名付きアテステーション導入

GitHubはセキュリティをさらに強化するため、開発者が自分たちのソフトウェアアーティファクトに署名できる新機能「署名付きアテステーション」を導入しました。

これは、ソフトウェアの出所を証明するためのデジタル署名で、コードがどこから来たのか、どのようにビルドされたのかを明確にすることができます。Sigstoreという技術を利用して、開発者はGitHub Actionsを通じてこのプロセスを簡単に実行できるようになりました。
これによって、ソフトウェアの安全性を高めるとともに、エンドユーザーが使用するアプリケーションの信頼性を確保できます。中学生に例えるなら、友達からもらった宿題の答えが本当に信頼できる友達から来たものかを確かめるために、友達のサインをもらうようなものです。

署名付きアステーション
署名付きアステーションの仕組み

透明なサプライチェーン強化

GitHubが新たに公開したセキュリティ機能により、ソフトウェアのサプライチェーンがより透明になります。
開発者は、自分たちのコードやアプリケーションがどこから来たのか、どのような手順を経て作られたのかをはっきりと示すことができるようになりました。

これは、ソフトウェアの品質を保証し、不正な改ざんや脆弱性からユーザーを守ることにつながります。

たとえば、スーパーマーケットで食品を買うときに、「どこの農場で作られたか」、「どのように運ばれてきたか」などの情報が表示されているのを見たことがありますか?

これと同じように、GitHubではソフトウェアの「履歴書」を提供することで、安全で信頼できる製品が提供されるよう努めています。

サムライチェーン強化
GitHubのワークフローにおける署名付きアテステーションの活用

GitHub Actions署名簡略化

GitHub Actionsは、開発者がソフトウェアのビルドやテスト、デプロイといったプロセスを自動化するためのツールです。
これまでGitHub Actionsで生成されたアーティファクトを署名するプロセスは、いくつかの複雑な手順が必要でしたが、新機能により大幅に簡略化されました。

これは、開発者がもっと簡単に自分たちのソフトウェアに署名を付けられるようになったということです。
署名はソフトウェアの「パスポート」のようなもので、この「パスポート」があることで、ソフトウェアが安全で信頼できると認められます。

中学生に例えるなら、宿題を提出するときに自分の名前を書くことで、「これは私がやりました」と言っているのと同じです。

GitHub Universe 2024注目の詳しい内容

GitHub UniverseはGitHubが主催する年次イベントで、最新の技術やツール、業界の動向についての発表が行われます。
2024年のイベントでは、セキュリティ機能の向上に加えて、開発者向けの教育リソースの提供や、二要素認証の推進など、開発者がより安全にコードを書けるよう支援する様々なプログラムが紹介されました。

また、関連するサービスや求人機会も提供されることで、GitHubコミュニティの成長と発展を促進しています。

GitHub Universe 2024では、これらの新機能やプログラムについて詳しく知ることができるだけでなく、世界中の開発者と交流し、最新の技術トレンドを学ぶ絶好の機会となります。

出典:Github

AI活用のノウハウ集「AI総合研究所」サービスご紹介資料

「AI総合研究所 サービス紹介資料」は、AI導入のノウハウがないというお客様にも使いやすい最先端のAI導入ノウハウを知れる資料です。

資料ダウンロード
監修者

坂本 将磨

Microsoft AIパートナー、LinkX Japan代表。東京工業大学大学院で技術経営修士取得、研究領域:自然言語処理、金融工学。NHK放送技術研究所でAI、ブロックチェーン研究に従事。学会発表、国際ジャーナル投稿、経営情報学会全国研究発表大会にて優秀賞受賞。シンガポールでのIT、Web3事業の創業と経営を経て、LinkX Japan株式会社を創業。

関連記事

AI導入の最初の窓口。

お悩み・課題に合わせて活用方法をご案内いたします。
お気軽にお問合せください。

ご相談
お問い合わせは
こちら!