GitHubは米国時間4月19日、「Private vulnerability reporting」機能の一般提供を発表した。Private vulnerability reportingは、セキュリティ研究者とオープンソースメンテナーがオープンソースリポジトリーの脆弱(ぜいじゃく)性を報告・修正することを容易にするプライベート(非公開)なコラボレーションチャネル。
GitHub Star、GitHub Security Ambassador、Open Source Security Foundation(OpenSSF)Project Alpha-OmegaのシニアオープンソースセキュリティリサーチャーであるJonathan Leitschuh氏は、研究者として最も苦労することの1つとして、メンテナーに脆弱性を開示するために連絡を取ることを挙げ、「Private vulnerability reportingは大きな前進」と述べる。
Private vulnerability reportingは、GitHub Universe 2022でパブリックベータの提供が発表されており、3万以上の組織のメンテナーが18万以上のリポジトリーで有効にし、セキュリティ研究者から1000以上の提出を受け取ったという。
オープンソースコミュニティーからのフィードバックを受け、一般提供に向けてPrivate vulnerability reportingには複数の機能が改善されている。
Private vulnerability reportingの有効化は、パブリックベータ版では個々のリポジトリーでのみだったが、組織内の全リポジトリーでの有効化が可能になった。脆弱性の発見・修復に貢献した人にクレジットを付与する方法も選択できる。
新しいリポジトリーセキュリティアドバイザリーAPIは、幾つかの新しい統合および自動化ワークフローをサポートした。プライベート脆弱性レポートをサードパーティーの脆弱性管理システムと連携可能になった。また、APIを使ってプログラム的に複数のリポジトリーでプライベート脆弱性レポートを開くこともできる。これにより、パッケージが共通の脆弱性を持っている場合に時間を節約できる。
重要なリポジトリーへの監視を怠らないようにするため、新たな脆弱性レポートに関する通知を受けるために自動pingをスケジュールできる。
Private vulnerability reportingは、GitHubのセキュリティ機能である「Dependabot」やコードスキャン、シークレットスキャンとともに、パブリックリポジトリーでは無料で利用できる。
