用語解説
GitHub Advanced Security(GHAS)とは、GitHubが提供するコードセキュリティ機能群で、コードの脆弱性検出・機密情報の漏洩防止・サードパーティ依存関係の脆弱性管理を自動化します。
主要機能としてCodeQL による静的解析(Code Scanning)、APIキー・パスワードなどの機密情報検出(Secret Scanning)、依存パッケージの脆弱性検出と自動PRによる修正提案(Dependabot)の3つを組み合わせることで、セキュリティレビューをCI/CDパイプラインに統合できます。
どんな場面で活用するか
- SQLインジェクション・XSSなどのセキュリティ脆弱性をコードレビュー前に自動検出したい開発チーム
- 誤ってGitHubにプッシュされたAWSキーやDBパスワードを即時検知・無効化したい組織
- OSS依存ライブラリのCVEを自動検知してパッチ適用PRを自動作成するプロセスを整備したいケース
よくある誤解
「GitHubにコードを置いていれば自動でセキュリティスキャンが走る」は誤りです。正しくは、Code ScanningとSecret ScanningはGHASライセンス(またはパブリックリポジトリでの無償利用)を有効化し、ワークフローを設定して初めて機能します。
判断のヒント
導入の優先順位:まずDependabotを全リポジトリで有効化し(設定は最小限)、次にSecret Scanningでプッシュ保護を有効化すると、少ない工数で最大のセキュリティリスク低減効果を得られます。
