GitHub診断について
GitHub診断は、お客様のGitHub環境を調査し、安全性について弊社エンジニアが評価を行うサービスです。
レオンのGitHub診断
柔軟な対応
少数精鋭のエンジニア陣が所属しているため、柔軟な対応が可能です。例えば、スケジュールがギリギリだったり、長期のオンサイト、急な状況の変更にも柔軟に対応します。
オーダーメイドの診断プラン
組織全体の診断やリポジトリ毎の診断など、貴社の環境に基づいてお見積りを提出させていただきます。また診断スケジュールの調整をさせていただきます。
充実したアフターサービス
github診断の報告書の提出から3ヶ月までは無償で再診断を行い、診断後の改修まで支援します。
また、報告書の提出と同時に報告会を実施し診断結果のフィードバックを行います。
スピーディな報告書作成
Github診断完了後、約5営業日以内に診断報告書を提出させていただきます。また、重大な脆弱性が発覚した場合は速報にて通知します。
GitHub診断項目
1.認証に関する項目
-
○二要素認証の確認/SSO認証の確認/LDAP認証の確認/IP制限の確認
アカウントを保護するための機能が有効化されているかなどを調査します
2.権限に関する項目
-
○リポジトリの基本権限の確認/外部コラボレータの権限の確認/アカウントの権限の確認
アカウントの権限や設定などを調査します
3.流出防止に関する項目
-
○fork禁止機能の確認/可視性の確認
ソースコードの流出を防ぐ機能が有効化されているかおよび流出する危険性がある設定について適切に行なっているかなどを調査します
-
○リポジトリの作成制限の確認
4.改ざん防止に関する項目
-
○ブランチ保護機能の確認/コードオーナーの確認/コミットの著名の確認
ソースコードの改ざんを防止するための設定を適切に行なっているかなどを調査します
5.ソースコード保護に関する項目
-
○脆弱性スキャンの確認/機微情報スキャンの確認/機微情報を含むコミットの確認/コミットログの確認/脆弱な依存関係スキャンの確認/gitignoreの確認
ソースコードを保護するための機能が有効化されているかおよび機微情報がソースコードに含まれていないかなどを調査します
6.リポジトリ保護に関する項目
-
○監査ログの確認/コミット通知の確認/サードパーティのアクセス確認
リポジトリを保護するための機能が有効化されているかおよびサードパーティアプリのアクセス範囲などについて適切な設定を行なっているかなどを調査します
実施フロー
- 1ご提案
- 診断範囲および「診断内容の提案、お見積りを提出させていただきます。また診断スケジュールの調整をさせていただきます。
- 2お申し込み
- 必要事項を記載し、注文書の送付をお願いいたします。
- 3診断
- 診断実施中に重大な脆弱性が発覚した場合は速報にて通知します。
- 4レポート
- 診断完了後、約5営業日以内に診断報告書を提出させて頂きます。
※オプションにて報告会も実施させて頂きます。
