こんにちは、Orca Security 担当の尾谷です。
少し前ですが、2024 年 5 月 5 日に GitHub から以下のようなメールが届いていました。
その 2 日後、Orca Security の Product Updates に権限変更のお知らせが届きました。
新しい SCM Security Posture 提供の開始に先立ち、GitHub アプリに必要なパーミッションを微調整しました。 これらのアップデートにより、Orca は組織やリポジトリレベルの設定やメタデータを収集できるようになり、潜在的なリスクに対する洞察を提供し、強化されたセキュリティ対策を提供できるようになりました。
早速、Orca の Discovery から GitHub のリポジトリ情報を確認しましたが、特に変わった様子はありませんでした。
アップデートの情報に補足事項が記載されていました。
SCM セキュリティポスチャーの BETA リリースは 6 月に開始される予定です。
ソースコード・マネジメント・セキュリティ・ポスチャーについて
SCM Security Posture が気になったので、調べてみました。
サプライチェーンではなく、ソースコードの方でした。
SCM(ソースコード管理)のセキュリティポスチャーは、GitHub や GitLab といったコラボレーティブなソースコード管理プラットフォーム内にセキュリティ対策を実装するものだそうです。
Orca Security では、ユーザー認証、アクセス制御、ブランチ保護ルール、権限管理、リポジトリの可視化、不正アクセス、データ侵害、サプライチェーン攻撃、コンプライアンス違反に関するリスクを軽減するための継続的な監視などのプラクティスが含まれるということです。
弊社では、これまで以下のようなブログ記事で Shift Left Security の実現方法をご提案してきましたが、より簡単に管理ができるようになりそうです。
BETA 版のリリースは 6 月とのことです!