GitHubはSwiftのコードスキャンサポートをベータ版で開始し、脆弱性モニターDependabotの機能を拡張するためにSwiftのセキュリティアドバイザリをアドバイザリ・データベースに含めることを発表した。
GitHubのコードスキャンによってプルリクエストでセキュリティ警告を受けられるようになり、PR Conversationタブにレビューとして表示される。SwiftのサポートはGitHubが脆弱性をスキャンできるプログラミング言語のセットを拡張するもので、すでにC/C++、Java/Kotlin、JS/TS、Python、Ruby、C#、Goが含まれていた。
GitHubのコードスキャンを強化するエンジンであるCodeQLにとって、KotlinとSwiftの両方をサポートすることはこれらのプログラミング言語の人気と採用が拡大しているため、非常に重要だ。KotlinとSwiftは特にAndroidとiOSプラットフォーム向けのモバイルアプリ開発で広く使用されている。
現在、Swiftのコードスキャンはパスインジェクション、安全でないWebビューのフェッチ、暗号の誤用、未消化データの処理などをカバーしている。GitHubによるとベータ版の進行に伴い、Swiftのコードスキャンで検出できる脆弱性ポイントの数を増やしていく予定だ。サポートされている他の言語についてはコードスキャンには400近いチェック項目があり、誤検出率を低く精度を高く保つように努めているとGitHubは述べている。
SwiftのコードスキャンはLinuxやWindowsのランナーよりも高価なmacOSのランナーを使用している。このため、GitHubは分析したいコードだけを構築し、1つのアーキテクチャだけをターゲットにすることを推奨している。現在、Swiftの5.4から5.7までのバージョンはmacOSで解析可能でSwift 5.7.3はLinuxでも解析可能である。
また、サプライチェーンセキュリティの面では、GitHubはキュレーションされたSwiftアドバイザリーをアドバイザリーデータベースに対し、Swiftの依存性解析を依存性グラフに追加すると発表した。これにより、Swiftプロジェクトに含まれる脆弱な依存関係について、Dependabotがアラートを送信することが可能である。
GitHub Advisory Database(ベータ版)は既知のセキュリティ脆弱性やマルウェアを含む。アドバイザリーはキュレーションされることも、されないこともある。依存関係グラフは直接依存と間接依存を含むリポジトリのすべての依存関係を含み、すべてのパブリックリポジトリについて自動的に生成される。GitHubによるとSwiftのサポートは6月後半になる予定だ。
また、本件に関連したところでは、GitHubはKotlinとSwiftのセキュリティ研究者を対象にSwiftとKotlinのプログラムの新しい脆弱性を発見する新しいCodeQLクエリーを提供するBug Bountyプログラムを開始した。