GitHub、DependabotとCode ScanningでOIDC認証を組織レベルでサポートし長期クレデンシャルを廃止

GitHubは、DependabotとCode Scanningが組織レベルでのOpenID Connect（OIDC）認証に対応したことを発表しました。この変更により、プライベートレジストリへの認証において、リポジトリシークレットとして長期クレデンシャルを保存する必要がなくなります。

組織管理者は、組織全体でOIDCベースのクレデンシャルを設定できるようになります。これは、GitHub ActionsワークフローでOIDCフェデレーションを使用するのと同様に、クラウドIDプロバイダーから短期間有効なクレデンシャルを動的に取得する仕組みです。これにより、セキュリティリスクの低減とクレデンシャル管理の簡素化が期待されます。

この機能はgithub.comで一般提供が開始されており、GitHub Enterprise Server 3.22にも搭載される予定です。また、今後4週間以内にCloudsmithとGoogle Artifact Registryへのサポートも追加される見込みです。実務においては、サプライチェーンセキュリティの強化と、秘匿情報の管理負荷軽減に直接貢献する重要なアップデートとなります。