「GitHubはセキュリティに真剣に取り組んでいる。これは機会ではなく、責任だと思っている」と話すのはGitHub Universe 2日目のKeynoteに登壇したJamie Cool氏。
GitHubは現地時間の11月14日、セキュリティリサーチャー、メンテナー、そして企業をオープンソース的に直接つなぐ「GitHub Security Lab」を発表した。すでに100以上のCVE(共通脆弱性識別子)を発見している。
GitHub Security Lab発足の背景には、多くのプロジェクトがオープンソースパッケージに依存していること、セキュリティの専門家の不足、すでに世界中で多くの企業を受け持つ専門家のコーディネートが難しいといった課題がある。
以下の企業がパートナーとして参加している。
- F5
- HackerOne
- IOActive
- J.P. Morgan
- Microsoft
- Mozilla
- NCC Group
- Oracle
- Trail of Bits
- Uber
- VMWare
この他、オープンソースの脆弱性を発見した誰でも、コード解析エンジン「CodeQL」を無料で利用できるようになった。
また、「GitHub Security Advisories」は、メンテナーが非公開スペースでセキュリティリサーチャーとともにセキュリティ修正に取り組み、GitHubから直接CVEを申請し、脆弱性についての詳細を特定できる仕組み。
このGitHub Security Advisoriesなどを通してGitHubに報告されたすべての脆弱性のデータを集めた、無料のセキュリティアドバイザリーデータベース「GitHub Advisory Database」も無料で公開開始した。
さらに、コミットがプッシュされて数秒でスキャンし、20のクラウドプロバイダのトークンフォーマットと一致するか確認できる「トークンスキャニング」の機能には、4社の新しいパートナー(GoCardless、HashiCorp、Postman、Tencent)が参加したことが発表された。
また、今年5月のGitHub Satellite 2019でベータ版が発表された「自動セキュリティアップデート機能」が、正式リリースとなった。これは、脆弱な依存関係を修正バージョンへとアップデートするPull Requestを自動で作成する機能で、セキュリティアラートが有効なすべてのアクティブリポジトリに展開されている。