大田一希さん
C#, .NET

Developers Night Cafe ～第 5 回 GitHub Advanced Security～ – YouTube
https://www.youtube.com/live/wsgUCyOuQ2o

o4-mini さんにチェック・直ししていただきましたが…けっこう。。。

気がついたところは修正しましたがまだ残ってるかと…

Developers Night Cafe ～第 5 回 GitHub Advanced Security～ – YouTube

o4-mini さんまとめ（ほぼ瞬間でした）
ノーチェック生成そのままです。

思考時間: 1 秒

以下、YouTubeライブ「Developers Night Cafe ～第5回 GitHub Advanced Security～」のセッション内容をまとめました。

---

セッション概要

配信シリーズ

• 「Developers Night Cafe」は、Microsoft関連イベントに限らず、ゲストを招いて最新技術・ツールをゆるく語り合う技術配信チャンネル。

出演者

• 司会：石田彩さん
• ゲスト：横田綾さん（GitHub／DevTools＆DevOps 担当）

---

今日のテーマ：GitHub Advanced Security（GHAS）

GitHub上でセキュリティを一貫して組み込み、開発→レビュー→運用までのワークフローに溶け込ませるための機能群を紹介。

1. GHASの3大機能

機能名	役割・概要
Dependency Scanning	Dependabot が依存ライブラリの既知脆弱性を検出し、アップデートPRを自動作成
Secret Scanning	パスワード／APIキーなど「公開すべきでない情報」の誤公開を検出し、プッシュ前（または後）に警告
Code Scanning	ソースコードの静的解析で SQL インジェクション／XSS など脆弱性パターンを検出

• これらはリポジトリ単位・組織単位で設定可能。
• プルリクエストのマージ前チェックや、アクション（Actions）連携で自動実行できる。

2. 無料版 vs 有料版の違い

• 無料版：Dependabot、基本的なSecret／Code Scanning が利用可能
• 有料版（Enterprise）：
  • アラート管理・トリアージ機能（大量アラートのフィルタリング、対応期限のトラッキング）
  • 追加のSecret Scanningパターン、より詳細なレポート機能
  • 組織規模でのポリシー一元管理・監査ログ連携

3. ワークフローへの組み込み（Shift Left）

• 従来「リリース直前」にまとめて実施していた脆弱性診断を、開発→ビルド→プルリク前の早い段階で自動実行する「Shift Left」アプローチで実現
• 問題の検出→自動修正（Auto-fix）→再チェック を迅速に繰り返し、小さなサイクルで品質向上

4. GitHub Copilot × GHAS の連携

1. 脆弱性説明の自動翻訳・要約
   • GHASのアラートをCopilotチャットに投げると、日本語で要点説明してくれる
2. Auto-fix 提案
   • Code Scanning アラートに対して、Copilotが修正コードを提案し、そのままコミット可能
3. Secret Scanning の強化
   • 既知キー形式に加え、汎用的な「パスワードっぽい文字列」も検出し、アラート表示

5. 新機能：Security Campaigns

• 組織／チーム単位で「何日以内に○○レベルの脆弱性を対策する」「Auto-fix可能なものから順に潰す」といったキャンペーン目標を設定
• 対象アラートの進捗がダッシュボードで可視化され、チーム全員で共有・推進しやすくなる

---

おわりに

• GHAS によって、GitHub 上で「コード資産」としてのセキュリティを一貫管理できる点が大きな魅力。
• Copilot連携やCampaignsなど、AI／自動化機能の強化で「早い段階で問題を検出→修正→回帰テスト」を快適に回せるようになってきている。
• 今後も「Shift Left」や「チームでのセキュリティ目標運営」など、開発者自身が主体的にセキュリティに関わる文化づくりが進みそう。

以上がセッションのポイントまとめです。ご参考になれば幸いです！