BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース GitHubセキュリティアラートが400万以上の脆弱性を検出

GitHubセキュリティアラートが400万以上の脆弱性を検出

ブックマーク

原文(投稿日:2018/03/21)へのリンク

読者の皆様へ:ノイズを減らすための一連の機能を開発しました。関心のあるトピックについて電子メールとWeb通知を受け取ることができます新機能の詳細をご覧ください。

昨年10月にリリースされたGitHubのセキュリティアラートは、開発者がRubyやJavaScriptプロジェクトから脆弱性を取り除くために要する時間を大幅に短縮したとGitHubは述べている。

GitHubのセキュリティアラートは、リポジトリ内の[Common Vulnerabilities and Exposures]リスト(リストから)のライブラリ脆弱性が検出されたときに、リポジトリ管理者に通知する。これは、管理者が、迅速に対応し、脆弱な依存関係を削除したり、安全なバージョンに移行することによって脆弱性を修正するための貴重な注意喚起となる。

GitHubによると、表示されるすべてのアラートのほぼ半分に対して1週間以内に反応があり、最初の7日間に解決された脆弱性の割合は約30%となっている。しかし、実際には、最近の寄稿者、つまり、過去90日間の寄稿があったリポジトリだけに統計情報を限定すると、7日以内にパッチが当てられたリポジトリが98%と、よりよい結果となる。全体として、500,000を超えるリポジトリに400万以上の脆弱性が報告されている。

すべてのパブリックリポジトリは脆弱性をスキャンされるが、一方で、プライベートリポジトリが依存関係グラフを有効にしたものだけが脆弱性をスキャンされる。検出された脆弱性ごとに、レポジトリ管理者には一般的な情報だけでなく、重要度レベルと解決手順も示される。指定された依存関係の安全なバージョンが不明の場合、GitHubは、安全でないものの代わりに類似の安全な依存関係を推奨しようとする。

セキュリティ通知は、他の通知の間にアラートを表示したり、電子メールで通知したりなど、いくつかの方法で配信できる。脆弱性が発見されるたびに電子メールを送信する機能に加えて、GitHubは最近、最大10のレポジトリの脆弱性アラートのサマリを含む週次のダイジェストメールを開始した。

前述のように、セキュリティアラートは、RubyやJavaScriptを使用しているリポジトリでのみサポートされている一方で、Pythonのサポートは2018年に予定されている。

 
 

Rate this Article

Adoption Stage
Style
 
 

この記事に星をつける

おすすめ度
スタイル

BT