BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース GitHubが開発者向けのワークフローツールをリリース:Actions、Suggested Changes、.NET/Java向けのSecurity Alerts

GitHubが開発者向けのワークフローツールをリリース:Actions、Suggested Changes、.NET/Java向けのSecurity Alerts

原文(投稿日:2019/10/17)へのリンク

サンフランシスコで開催されたGitHub Universeで、GitHubは、開発者に対してActions、Suggested Changes、.NETとJava向けのSecurity Alertsなどのワークフローをより効果的にするための、新しい多くのツールを発表した。

限定公開のベータ版で発表されたGitHub Actionsは、Dockerコンテナにパッケージ化し、GitHubのサーバで実行するという基本的な手順で接続することによって、洗練されたワークフローを構築することができる。たとえば、アクションワークフローでNodeプロジェクトを構築し、テストを実行した後、パッケージ化してNPMに公開するか、どこかに展開することができる。アクションはGitHubコミュニティと共有することができ、開発者が簡単に再利用できるようにActionライブラリを作成することができる。


(GiHubブログの画像)

Suggested Changesにより、プロジェクトの共同作業者はプルリクエストに対してコード変更を提案することができる。PR作成者は、これらの提案を単に受け入れるだけでなく、必要に応じて修正することもできる。コードサジェスチョンはインラインコメントとして作成されるが、これはもちろん新機能ではない。新しいのは、これらのインラインコメントに含まれるコードをワンクリックでPRにマージできることである。Suggested Changesはパブリックベータ版で利用できる。

その他の多くの新機能は、セキュリティコードの改善に重点を置いている。パブリックリポジトリにプッシュする際に、開発者が誤ってトークンや暗号鍵を共有するのを防ぐため、パブリックリポジトリに対するToken Scanningがある。GitHubは、コミットがプッシュされるたびに、AWS、Azure、Google、GitHubなどの大手サービスプロバイダから発行されたトークンを探して、reposをスキャンする。トークンまたはキーが見つかった場合、GitHubは発行サービスプロバイダに通知し、トークンを取り消したり、開発者と連絡をとれるようにする。関連するメモでは、GitHub Actionsは、公開されていないパブリックリポジトリにCIインテグレーションや自動テストのためにトークンを格納する方法の問題に対する解決策を提供するようである。InfoQは、GitHubの広報担当者との対話で間違いないことを確認した。

もう1つのセキュリティ関連の機能は、.NETおよびJavaのセキュリティ脆弱性である。GitHub Security Vulnerability Alertsは、リポジトリ内でCommon Vulnerabilities and Exposures(CVE)リストの脆弱性が検出されたときにリポジトリ管理者に通知する。セキュリティアラートは、以前はRuby、JavaScript、Pythonで利用でき、.NETとJavaをサポートしている

これに関連して、GitHubは新たなSecurity Advisory APIを提供し、GitHubがさまざまなWebソースから集めたセキュリティ脆弱性のデータベースにアクセスし、セキュリティ関連のすべての機能を強化する。GitHub Security Advisory APIは、GitHub GraphQL APIを介してプレビューすることができる。

最後に、GitHubは新しい統一されたビジネスアイデンティティを導入している。これにより、開発者は異なるBusiness Cloudアカウント下での作業が自身の功績として認められるようになる。

 
 

Rate this Article

Adoption Stage
Style
 
 

この記事に星をつける

おすすめ度
スタイル

BT