Shoeisha Technology Media

CodeZine(コードジン)

特集ページ一覧

GitHub、コミュニティ全体でセキュリティ脆弱性に対応する「GitHub Security Lab」を発表

2019/11/19 14:00

 GitHubは、11月14日に開催されたGitHub Universe 2019(Day2)において、「GitHub Security Lab」をはじめとするセキュリティに関するプロジェクトを発表した。

 「GitHubはセキュリティに真剣に取り組んでいる。これは機会ではなく、責任だと思っている」と話すのはGitHub Universe 2日目のKeynoteに登壇したJamie Cool氏。

 GitHubは現地時間の11月14日、セキュリティリサーチャー、メンテナー、そして企業をオープンソース的に直接つなぐ「GitHub Security Lab」を発表した。すでに100以上のCVE(共通脆弱性識別子)を発見している。

 GitHub Security Lab発足の背景には、多くのプロジェクトがオープンソースパッケージに依存していること、セキュリティの専門家の不足、すでに世界中で多くの企業を受け持つ専門家のコーディネートが難しいといった課題がある。

 以下の企業がパートナーとして参加している。

  • F5
  • Google
  • HackerOne
  • IOActive
  • J.P. Morgan
  • LinkedIn
  • Microsoft
  • Mozilla
  • NCC Group
  • Oracle
  • Trail of Bits
  • Uber
  • VMWare

 この他、オープンソースの脆弱性を発見した誰でも、コード解析エンジン「CodeQL」を無料で利用できるようになった。

 また、「GitHub Security Advisories」は、メンテナーが非公開スペースでセキュリティリサーチャーとともにセキュリティ修正に取り組み、GitHubから直接CVEを申請し、脆弱性についての詳細を特定できる仕組み。

 このGitHub Security Advisoriesなどを通してGitHubに報告されたすべての脆弱性のデータを集めた、無料のセキュリティアドバイザリーデータベース「GitHub Advisory Database」も無料で公開開始した。

 さらに、コミットがプッシュされて数秒でスキャンし、20のクラウドプロバイダのトークンフォーマットと一致するか確認できる「トークンスキャニング」の機能には、4社の新しいパートナー(GoCardless、HashiCorp、Postman、Tencent)が参加したことが発表された。

 また、今年5月のGitHub Satellite 2019でベータ版が発表された「自動セキュリティアップデート機能」が、正式リリースとなった。これは、脆弱な依存関係を修正バージョンへとアップデートするPull Requestを自動で作成する機能で、セキュリティアラートが有効なすべてのアクティブリポジトリに展開されている。

関連リンク

All contents copyright © 2005-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5