商用・非商用に限らず、ソフトウェア開発プロジェクトにおけるソースコード資産のホスト先として、GitHubは一定の地位を確立しているといえるだろう。しかし、プロジェクトでGitHubを利用するにあたっては、組織の重要な資産を守るために、セキュリティ設定を適切に管理することが必須だ。そこでGoogleは、GitHubリポジトリにおける適切なセキュリティ設定の運用をサポートするツール「Allstar」をオープンソースで公開した。

Allstarは次のGitHubリポジトリで公開されている。ライセンスはApache License 2.0が採用されている。

  • GitHub - ossf/allstar: GitHub App to set and enforce security policies

    GitHub - ossf/allstar: GitHub App to set and enforce security policies

Allstarは、GitHubリポジトリに対してセキュリティポリシーを設定および適用するためのGitHubアプリである。Allstarをリポジトリにインストールすることで、セキュリティのベストプラクティスに従わない設定やファイルを継続的に監視・検出できるようになる。さらに、ポリシーに準拠していない設定やファイルが検出された場合は、自動で次のようなアクションを行うように設定することができる。

  • log: すべてのポリシーの実行結果と詳細をログに記録する。デフォルトのアクションとして設定されている。
  • issue: 違反したポリシーごとに1つずつGitHub Issueを作成する。違反が解決されればIssueはAllstarによって自動的にクローズされる。
  • fix: ポリシー違反を解消するためにGitHub設定の修正を試みる。

上記に加えて、将来的には次のようなアクションも追加される予定だという。

  • block: GitHubステータスチェックを設定し、チェックが失敗した場合にリポジトリ内のプルリクエストがマージされないようにブロックする。
  • email: リポジトリ管理者に電子メールを送信する。
  • rpc: 組織の固有のシステムにRPC(リモートプロシージャコール)を送信する。

AllstarのREADMEでは、用途に応じて参考となるポリシー構成ファイルの例も提示されている。