BT

GitHubセキュリティアラートが400万以上の脆弱性を検出

| 作者: Sergio De Simone フォローする 18 人のフォロワー , 翻訳者 編集部T _ フォローする 0 人のフォロワー 投稿日 2018年3月26日. 推定読書時間: 2 分 |

原文(投稿日:2018/03/21)へのリンク

読者の皆様へ:ノイズを減らすための一連の機能を開発しました。関心のあるトピックについて電子メールとWeb通知を受け取ることができます新機能の詳細をご覧ください。

昨年10月にリリースされたGitHubのセキュリティアラートは、開発者がRubyやJavaScriptプロジェクトから脆弱性を取り除くために要する時間を大幅に短縮したとGitHubは述べている。

GitHubのセキュリティアラートは、リポジトリ内の[Common Vulnerabilities and Exposures]リスト(リストから)のライブラリ脆弱性が検出されたときに、リポジトリ管理者に通知する。これは、管理者が、迅速に対応し、脆弱な依存関係を削除したり、安全なバージョンに移行することによって脆弱性を修正するための貴重な注意喚起となる。

GitHubによると、表示されるすべてのアラートのほぼ半分に対して1週間以内に反応があり、最初の7日間に解決された脆弱性の割合は約30%となっている。しかし、実際には、最近の寄稿者、つまり、過去90日間の寄稿があったリポジトリだけに統計情報を限定すると、7日以内にパッチが当てられたリポジトリが98%と、よりよい結果となる。全体として、500,000を超えるリポジトリに400万以上の脆弱性が報告されている。

すべてのパブリックリポジトリは脆弱性をスキャンされるが、一方で、プライベートリポジトリが依存関係グラフを有効にしたものだけが脆弱性をスキャンされる。検出された脆弱性ごとに、レポジトリ管理者には一般的な情報だけでなく、重要度レベルと解決手順も示される。指定された依存関係の安全なバージョンが不明の場合、GitHubは、安全でないものの代わりに類似の安全な依存関係を推奨しようとする。

セキュリティ通知は、他の通知の間にアラートを表示したり、電子メールで通知したりなど、いくつかの方法で配信できる。脆弱性が発見されるたびに電子メールを送信する機能に加えて、GitHubは最近、最大10のレポジトリの脆弱性アラートのサマリを含む週次のダイジェストメールを開始した。

前述のように、セキュリティアラートは、RubyやJavaScriptを使用しているリポジトリでのみサポートされている一方で、Pythonのサポートは2018年に予定されている。

 
 

Rate this Article

Adoption Stage
Style
 
 

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT