編集部からのお知らせ
Topic 本人認証の重要性
宇宙ビジネスの記事まとめダウンロード

GitHubがプルリクエストの依存関係レビュー、脆弱性アラート機能を発表

Charlie Osborne (ZDNet.com) 翻訳校正: 編集部

2020-12-10 13:30

 オープンソースの開発プラットフォームであるGitHubは、今後数週間以内にプルリクエストのセキュリティを評価する依存関係レビュー機能を開発者向けに提供する。

 GitHubは米国時間12月8日、開催中のGitHub Universeカンファレンスで依存関係レビュー機能を発表した。同社によれば、これは「レビューアーとコントリビューターが、プルリクエストのもたらす依存関係の変更やセキュリティ面の影響を理解」できるよう支援する仕組みであり、脆弱なコードが誤って新しい(または更新された)依存関係とマージされないようにするものだと述べた。

 この新ツールは2020年、GitHubのロードマップに追加された。開発者はアップデート時にプロジェクトに追加(または削除)された依存関係、その依存関係に依存している他のプロジェクト、関連する脆弱性情報などを概観できる。

 現在はベータ版で、「数週間以内」にパブリックリポジトリーと「GitHub Enterprise Cloud」の「Advanced Security」の顧客に提供される予定だ。この機能はパブリックリポジトリーで無料で利用できるようになる。

依存関係レビューレコードの例
依存関係レビューレコードの例
提供:GitHub

 現在、GitHubが用意しているセキュリティ機能には、脆弱性アドバイザリーデータベース、公開前にバグを修正するための一時的なプライベートフォーク機能、Dependabotアラート、セキュリティアップデートのためのプルリクエストの自動作成などがある。

 2020年、GitHubには5600万人の開発者がログインし、6000万の新しいリポジトリーが作成された。プロジェクトの90%超はオープンソースのコンポーネントを利用しており、平均して約700の依存関係が存在する。

 GitHubの調査によれば、オープンソースソフトウェアの脆弱性は最長4年間にわたって検知されない場合がある。バグの大部分は悪意よりも人的エラーに起因しているが、サードパーティーによって広く活用される可能性のあるコンポーネントに含まれる脆弱性は、なるべく早く対処する必要があるため、バグが依存関係に追加される可能性を防ぐ手段は非常に重要だ。

 GitHubは他にも多くの変更を発表した。例えば、12月16日から公開される「GitHub Enterprise Server(GHES)」の新しいビルドには、ビルトインの継続的インテグレーション/継続的デリバリー(CI/CD)に加え、「GitHub Actions」と 「Packages」に自動化機能が追加される。

 この新しい「GHES 3.0」では、法人顧客は「Advanced Security」を自動化し、サーバーデプロイ中にコードスキャンやシークレットスキャン(ベータ)を実行できるようになる。

 その他の発表内容は以下の通りだ。

  • ダークモード:8日から利用可能(「Settings」から設定)
  • ディスカッション:全てのパブリックリポジトリーで利用可能
  • プルリクエストの自動マージ:数週間以内に展開予定。オプトインで有効化すると、チェックの完了後、プルリクエストを自動でマージできるようになる
  • 環境:アプリとパッケージを保護するために、特定のシークレットと合わせて利用できるようになる。12月後半から展開開始
  • ワークフローの可視化:アクションのワークフローをグラフを用いて可視化できる
  • モバイル対応:GitHub Enterprise Serverのモバイル対応版(ベータ)が開発中だ

 上記に加えて、GitHub Sponsorsが個人から企業にも拡大された。同社によれば、これにより企業はGitHub billingを通じて「自社が利用しているオープンソースの開発者やプロジェクトに投資」できるようになる。

 既にAmazon Web Services(AWS)、American Express、Daimler、Microsoftなどの企業がオープンソースプロジェクトへの資金援助を申し出ている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]