BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース GitHubがセキュリティ警告機能をローンチ

GitHubがセキュリティ警告機能をローンチ

原文(投稿日:2017/11/25)へのリンク

GitHubは、既知の脆弱性に対してプロジェクトの依存関係をスキャンする新しいセキュリティ警告機能をローンチした。脆弱性が見つかると、自動的にユーザーに警告し、脆弱性の重大度と解決手順を含んだ詳細な情報を提示する。

この新機能は、最近導入されたDependency graph機能上に構築されている。Dependency graph機能というのは、GitHubが自動的にプロジェクトの依存関係をすべてスキャンして、それをユーザーに提示するものだ。

依存関係データとセキュリティ脆弱性データとを相互参照することで、GitHubは脆弱性の特定をできるだけ自動化し、新しい脆弱性が見つかるとすぐにユーザーに警告することを目指している。この機能は、機械学習と公開情報をもとに実現されている。

CVE IDのある脆弱性(National Vulnerability Databaseで公開されている脆弱性)にはセキュリティ警告が含まれています。ところが、すべての脆弱性にCVE IDがあるわけではありません(公開されている多くの脆弱性にはありません)。私たちはセキュリティデータを増やしながら、これからも脆弱性の特定を改善していきます。

脆弱性が特定されると、CVEレコードに基づいて重大度が割り当てられる。そのあと、適切なパッチを当てて修正するのはユーザーの責任だ。

自分のリポジトリにある脆弱性のある依存関係がわかったら、あなたはプロジェクトへの影響を調べて、アップデートの前にバージョン変更によって脆弱性が解決されるか確かめる必要があります。安全な推奨バージョンが存在しない場合には、その依存関係を取り除き、類似の安全なものがあればそれを使用することをおすすめします。

デフォルトでは、すべてのパブリックリポジトリでスキャンが実行される。オプションで、プライベートリポジトリに有効にすることもできる。どちらにせよ、スキャン結果が公開されることはない。

現在のところ、サポートされているのはRubyとJavascriptだけだが、GitHubは2018年にPythonのサポートを目指している。

詳しくは、GitHubのドキュメントを参照してほしい。
 

 
 

Rate this Article

Adoption Stage
Style
 
 

この記事に星をつける

おすすめ度
スタイル

BT