BT

Your opinion matters! あなたのご意見でInfoQが変わる!

GitHubがセキュリティ警告機能をローンチ

| 作者: Andrew Morgan フォローする 0 人のフォロワー , 翻訳者 sasai フォローする 0 人のフォロワー 投稿日 2017年12月6日. 推定読書時間: 2 分 |

あなたのリクエストに応じて、ノイズを減らす機能を開発しました。大切な情報を見逃さないよう、お気に入りのトピックを選択して、メールとウェブで通知をもらいましょう。

原文(投稿日:2017/11/25)へのリンク

GitHubは、既知の脆弱性に対してプロジェクトの依存関係をスキャンする新しいセキュリティ警告機能をローンチした。脆弱性が見つかると、自動的にユーザーに警告し、脆弱性の重大度と解決手順を含んだ詳細な情報を提示する。

この新機能は、最近導入されたDependency graph機能上に構築されている。Dependency graph機能というのは、GitHubが自動的にプロジェクトの依存関係をすべてスキャンして、それをユーザーに提示するものだ。

依存関係データとセキュリティ脆弱性データとを相互参照することで、GitHubは脆弱性の特定をできるだけ自動化し、新しい脆弱性が見つかるとすぐにユーザーに警告することを目指している。この機能は、機械学習と公開情報をもとに実現されている。

CVE IDのある脆弱性(National Vulnerability Databaseで公開されている脆弱性)にはセキュリティ警告が含まれています。ところが、すべての脆弱性にCVE IDがあるわけではありません(公開されている多くの脆弱性にはありません)。私たちはセキュリティデータを増やしながら、これからも脆弱性の特定を改善していきます。

脆弱性が特定されると、CVEレコードに基づいて重大度が割り当てられる。そのあと、適切なパッチを当てて修正するのはユーザーの責任だ。

自分のリポジトリにある脆弱性のある依存関係がわかったら、あなたはプロジェクトへの影響を調べて、アップデートの前にバージョン変更によって脆弱性が解決されるか確かめる必要があります。安全な推奨バージョンが存在しない場合には、その依存関係を取り除き、類似の安全なものがあればそれを使用することをおすすめします。

デフォルトでは、すべてのパブリックリポジトリでスキャンが実行される。オプションで、プライベートリポジトリに有効にすることもできる。どちらにせよ、スキャン結果が公開されることはない。

現在のところ、サポートされているのはRubyとJavascriptだけだが、GitHubは2018年にPythonのサポートを目指している。

詳しくは、GitHubのドキュメントを参照してほしい。
 

 
 

Rate this Article

Adoption Stage
Style
 
 

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT