GitHubが開発ライフサイクルのすべてをセキュアにする――、OSSを取り巻くセキュリティ動向を説明
脆弱性を発見するコードスキャン機能がGitHubに統合、セキュリティの問題が次々見つかる
GitHubは2020年9月30日(米国時間)、コードを本番環境に展開する前にコードの脆弱(ぜいじゃく)性を簡単に発見できるコードスキャン機能の一般提供を開始した。 GitHubはSemmleの買収で獲得したセマンティックコード解析エンジン「CodeQL」のコード解析機能をGitHubのネイティブ機能として提供することに取り組んできた。今回のコードスキャン機能は、CodeQLの機能をGitHubにネイティブに統合したものだ。2020年5月のβ版リリースを経て、今回正式版の提供を開始した。 β版では1万2000以上のリポジトリが140万回スキャンされ、リモートコード実行(RCE)やSQLインジェクション、クロスサイトスクリプティング(XSS)といった脆弱性を含む2万以上のセキュリティ問題が見つかった。 マージ前のプルリクエストで報告があったセキュリティ上の問題の72%を、報告から30日以内に
GitHub、コミュニティ全体でセキュリティ脆弱性に対応する「GitHub Security Lab」を発表
「GitHubはセキュリティに真剣に取り組んでいる。これは機会ではなく、責任だと思っている」と話すのはGitHub Universe 2日目のKeynoteに登壇したJamie Cool氏。 GitHubは現地時間の11月14日、セキュリティリサーチャー、メンテナー、そして企業をオープンソース的に直接つなぐ「GitHub Security Lab」を発表した。すでに100以上のCVE(共通脆弱性識別子)を発見している。 GitHub Security Lab発足の背景には、多くのプロジェクトがオープンソースパッケージに依存していること、セキュリティの専門家の不足、すでに世界中で多くの企業を受け持つ専門家のコーディネートが難しいといった課題がある。 以下の企業がパートナーとして参加している。 F5 Google HackerOne IOActive J.P. Morgan LinkedIn
[速報]GitHub、依存関係表示でのパッケージやアプリケーション対応、セキュリティアラートなどの新機能発表。GitHub Universe 2017
基調講演では、GitHubの新機能としてプロジェクトの依存関係を表示する「Dependency graph」や、このDependency graphにおいてパッケージやアプリケーションの対応や、依存関係にあるパッケージなどで脆弱性が発見された場合に通知してくれる「Security alerts」機能などが発表されました。 プロジェクトの依存関係を表示する「Dependency graph」 GitHub上で開発されているソフトウェアの多くは、ほかのプロジェクトで開発されているソフトウェア、パッケージ、アプリケーションなどを利用しています。 同社はこうしたプロジェクトの依存関係を「Code metadata」として保持しており、同社 データサイエンスチームのエンジニアリングマネージャのMiju Han氏によると、リポジトリの75%が何らかの依存関係を持ち、半分以上は10以上の依存関係を持ち、
![[速報]GitHub、依存関係表示でのパッケージやアプリケーション対応、セキュリティアラートなどの新機能発表。GitHub Universe 2017](https://cdn-ak-scissors.b.st-hatena.com/image/square/2fd5f9a1fa443bb72e9842cc608727c1b791d118/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2017%2Fgithubuniverse01.gif)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHubがセキュリティ関連の新機能を一挙に発表、専任のセキュリティチームも発足
GitHub、「GitHub Enterprise」のチーム管理やセキュリティ強化などの新機能を発表
GitHubセキュリティアラートが400万以上の脆弱性を検出