GitHub、コードの脆弱性を検出する「Code Scanning」を全ユーザーに提供

Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2020-10-01 13:28

 GitHubは米国時間9月30日、有料および無料のアカウントを持つ全ユーザーを対象に、新しいセキュリティ機能「Code Scanning」を実装した。

GitHub
提供:GitHub

 GitHubによると、新機能のCode Scanningは、「全てのプルリクエストやコミット、マージを分析し、脆弱なコードが作成されるとすぐにそれを認識して、脆弱性が本番環境に入り込むのを防ぐのに役立つ」という。

 脆弱性を検知すると、Code Scanningは開発者にコードの修正を促す。

 Code Scanningの内部では、「CodeQL」が用いられている。CodeQLは、GitHubが2019年にコード分析基盤「Semmle」を買収し、そのプラットフォームに統合した技術だ。

 CodeQLは、「code query language(コードクエリー言語)」の略で、大規模なコードベースの中から1つのセキュリティ脆弱性のさまざまなバージョンを検知するためのルールを作成できる汎用言語だ。

GitHub
提供:GitHub

 ユーザーにCode Scanningを利用してもらうため、GitHubのセキュリティチームは2000を超える定義済みのクエリーをまとめたという。ユーザーのリポジトリーで有効にすれば、新しいコードをサブミットしたときに最も基本的なセキュリティ脆弱性を自動的にチェックしてくれる。

 Code Scanningは、リポジトリーの所有者が作成したカスタムのCodeQLテンプレートや、サードパーティーが提供するオープンソースまたは商用のSAST(Static Application Security Testing)ソリューションを利用して、拡張も可能だ。

 Code Scanningは「GitHub Satellite」で発表された後、GitHubベータテスター向けに5月から提供されている。

 GitHubによると、この機能を利用して、これまでに1万2000以上のリポジトリーで140万回以上のスキャンが実行され、リモートコード実行(RCE)やSQLインジェクション、クロスサイトスクリプティング(XSS)の脆弱性など、2万を超える脆弱性が見つかったという。

 GitHubは、2020年春に機能の提供を開始して以来、CodeQLのオープンソースのクエリーセットに対して既にコミュニティーから132件の貢献があったと述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]