Skip to content
GitHubサプライチェーン

ソフトウェアサプライチェーンをセキュア化する

GitHubのサプライチェーンセキュリティでオープンソースのリスクを管理。自動化されたスキャン、更新、ポリシーの適用を使用して早い段階で脅威の検出と修復を行うことで、ソフトウェアのレジリエンシーを維持しましょう。

The image shows a GitHub Actions dependency review report on a blue gradient background. It indicates 0 vulnerable packages, 1 package with an incompatible license, and 0 packages with unknown licenses. Each issue has a "Details" link for more information.

依存関係をセキュア化

Dependabot を使用して、脆弱性を自動的に検出し、信頼の置ける更新を取得します。

重要事項を最優先

Dependabot はまず、悪用の可能性、重大度スコア、トリアージ ルールを使用して、最も重大なアラートの上位 10% を明らかにします。

ビルドして配信

アーティファクト構成証明を使用してビルドの署名と検証を簡単に実行し、セキュリティとコンプライアンスを簡素化しましょう。

依存関係からデプロイまで、
サプライチェーンを完全にロックしましょう。

サプライチェーンを理解する

EPSS スコアと自動化されたアラートで重要なリスクをすばやく特定しましょう。ワンクリックの SBOM を使用して、推移的なものを含めた依存関係と依存部分をマップします。

サプライチェーンセキュリティの詳細はこちら
The image shows a screenshot of a security vulnerability report for various npm packages. The background is blue, and the report lists four packages with their respective versions and types of vulnerabilities. The first package, "vm2" version 3.9.19, is marked as "Direct" with 5 critical vulnerabilities detected automatically. The second package, "@babel/traverse" version 7.22.6, is marked as "Transitive" with 3 moderate vulnerabilities detected automatically. The third package, "@babel/cli" version 7.17.10, is also marked as "Transitive," but no specific vulnerabilities are listed in the image snippet provided here (the text cuts off). The fourth package, "browserify-sign" version 4.2.1, is similarly marked as "Transitive," with no specific vulnerabilities listed in this snippet.

更新をスムーズに実行

最新の依存関係に対する自動プルリクエストでセキュリティを維持しましょう。Dependabot は、迅速なレビューとマージのために更新をグループ化します。

Dependabotの詳細はこちら
The image shows a GitHub pull request notification from dependabot. The title of the pull request is "Bump tomli from 2.0.1 to 2.2.1 in python.helpers #127". The status of the pull request is "Open" and it indicates that dependabot wants to merge 1 commit. Below, there is a comment from dependabot on behalf of GitHub stating "Bumps tomli from 2.0.1 to 2.2.1". There are expandable sections for "Changelog" and "Commits (1)". A note at the bottom states that Dependabot will resolve any conflicts.

新たなリスクを防ぐ

依存関係レビュー アクション (GitHub Code Security で利用可能) を使用して、プルリクエストにセキュリティとライセンス コンプライアンスを適用します。

依存関係レビューアクションの詳細はこちら
The image shows a "Dependency Review" report generated by the GitHub Actions bot. The report lists the following issues: 0 vulnerable packages, 1 package with incompatible licenses, and 0 packages with unknown licenses. Each issue has a "Details" link next to it for more information.

コンプライアンスだけでなくセキュリティも実現

アーティファクト構成証明でビルドの署名を検証を簡単に実行しましょう。SOC2 などの外部コンプライアンス フレームワークに適合、または最大ビルドレベル 3 の SLSA で内部セキュリティを強化できます。

アーティファクト構成証明の詳細はこちら
The image shows a digital interface with a blue gradient background. In the center, there is a semi-transparent rectangular overlay containing information about a software build. The overlay includes the following details: A URL link at the top: "https://slsa.dev/provenance/v1 #4920729" Created date and time: "3 weeks ago (Tue, 11 Feb 2025 19:52:54 GMT)" Commit hash: "6890fe21dd88873893dd1a3bf3bdd4d334bb2338" Build Summary link: "/cli/cli/actions/runs/13271193192/attempts/1" Workflow File path: ".github/workflows/deployment.yml@refs/heads/trunk"

ソフトウェアを初めからセキュア化

オープン ソース プロジェクトに携わる場合でも、チームのために新しいツールを選ぶ場合でも、GitHub がセキュリティ ニーズに対応します。

営業担当へ問合せ

よりセキュアなソフトウェアのためのベストプラクティス

サプライチェーンをエンドツーエンドでセキュア化

個人用アカウントからコードとビルドまで、GitHub ワークフローの全体を保護しましょう。

ガイドを読む

DevSecOpsガイドを調べる

DevSecOpsを活用して最初からよりセキュアなコードを作成する方法を学びましょう。

ホワイトペーパーを読む

アプリケーションセキュリティの落とし穴を回避

アプリケーションセキュリティの一般的な落とし穴と、それらを回避する方法を探りましょう。

ホワイトペーパーを読む

よくある質問

サプライチェーンセキュリティとは何ですか?

ソフトウェア プロジェクトを開発するときは、アプリケーションをビルドして実行するために、オープン ソース ライブラリ、フレームワーク、その他のツールなどの他のソフトウェアを使用することがほとんどです。プロジェクトはこうしたリソースが適切に機能することに依存しているため、これらは総称して “依存関係” と呼ばれています。プロジェクトは何百個もの依存関係に支えられている場合があり、これらが"サプライ チェーン"として知られる流れを形成します。

サプライ チェーンは、セキュリティリスクを生じる可能性があります。依存関係の 1 つに既知のセキュリティ脆弱性やバグが存在する場合、悪意のある攻撃者がこの脆弱性を悪用して、悪意のあるコード (マルウェア) を挿入したり、極秘データを盗んだり、プロジェクトにその他のタイプの混乱を引き起こしたりすることも考えられます。このタイプの脅威は、"サプライ チェーン攻撃"と呼ばれます。サプライ チェーン内に脆弱な依存関係があると、自分自身のプロジェクトのセキュリティが損なわれ、ユーザーまでリクスにさらしてしまうことになります。

サプライ チェーンを保護するために実行できる最も重要な措置の 1 つは、脆弱な依存関係にパッチを適用することです。

攻撃者は、使用される依存関係だけをターゲットにするわけではなく、ユーザー アカウントやビルド プロセスもターゲットにします。これら両方をセキュア化して、配布するコードが改ざんされていないことを確実にすることが重要です。

GitHub は、環境内の依存関係を理解してセキュア化し、GitHub アカウントとビルド システムをセキュア化するために役立つさまざまな機能を提供しています。

サードパーティ製品ではなくGitHubのサプライチェーン機能を選択する理由はありますか?

サードパーティ製のセキュリティ アドオンとは異なり、GitHub のサプライ チェーン機能は、開発者が既に把握し、愛用しているネイティブ GitHub ワークフロー内で完全に動作します。GitHub は、開発者が作業しながら脆弱性を簡単に修復できるようにすることで、アプリケーション ベースの脆弱性からビジネス、お客様、コミュニティを守る重要な戦略にセキュリティ チームが集中できるようにします。

SLSA、SLSAレベル3とは何ですか?

Supply-chain Levels for Software Artifacts (SLSA) は、ソフトウェア アーティファクトの開発ライフサイクル全体を通じて、アーティファクトのエンド ツー エンドの整合性を向上させるフレームワークです。SLSA は、整合性とプロベナンスの保証をソフトウェア サプライ チェーンに組み込むための、包括的かつ段階的な手法を提供します。SLSA レベル 3 は、ビルドが高度に分離され、ソース コード履歴が検証済みで、プロベナンスが厳密に制御されている、強度が大幅に向上されたソフトウェア サプライ チェーンを表すもので、改ざんに対する強固な保証を提供し、ソフトウェア アーティファクトの整合性を確実にします。GitHub Actions とアーティファクト構成証明は、SLSA レベル 3 の達成プロセスを大幅に簡素化します

GitHubはSBOM (ソフトウェア部品表) を作成できますか?

GitHub 依存関係グラフから、リポジトリの SBOM (ソフトウェア部品表) をエクスポートできます。SBOM は、オープン ソースの使用に関する透明性を実現し、サプライ チェーン脆弱性の表面化に役立つため、サプライ チェーンのリスクが低減します。

GitHubのサプライチェーン機能は有料ですか? 無料ですか?

GitHub のサプライ チェーン機能のほとんどは、全てのユーザーに無料で提供されています。高度な機能のごく一部が、GitHub Code Security のプライベート リポジトリでの利用のみとなっています。料金情報をご確認ください。