IT・情報化ネット社会で、ITセキュリティはエンジニアにとって必須の課題です。

それにおいて、まず２つ大事なことがあると実感しています。しかし、これらはあくまでも基本です。

1.GitHubPro以上の有料プランに課金してセキュリティを強化

例えば、GitHubのFreeプランとProプランではこのような違いがあります。

つまり ProとFreeのセキュリティ差 は

プライベートリポジトリ内での保護とワークフロー制御の有無
＝ Pro は安全なブランチ保護やレビューポリシーを強制できる
＝ Free はそこが制限され、手動管理のリスクが増える

Proプランが現在$48/年 であることを考えると、高くはないでしょう。

しかし、「コード自動スキャン・秘密検出」などは Pro 単体では提供されず、 Team 以上 + Advanced Security の追加購入 が必要です。

2. gitleaksツールを活用して、重要キーなどの流出防御

さらに、gitleaks を CI と pre-commit に入れる。

どっちも入れるのが最強（おすすめ構成）

• pre-commit：うっかり漏洩をcommit前にローカルで止める
• CI：誰かがフック入れてなくても / 直接pushしても止める（最終防衛線。GitHubActions）

※fetch-depth: 0 が超重要（過去コミットまでスキャンできる）

以上は、最低限のセキュリティの基本です。多くの会社さんのソースコードを扱うなら必須事項でしょう。

下記、不明な人へ。

※CI とは何か？

CI（Continuous Integration：継続的インテグレーション） とは、

コードを push / PR したタイミングで、自動でチェックやテストを実行する仕組み

のことです。

以上、参考になれば幸いです。

©︎株式会社GenuineDesign 奥村真理子