GitHub、プライベート脆弱性レポート機能を一般提供

河部恭紀 (編集部)

2023-04-20 14:35

 GitHubは米国時間4月19日、「Private vulnerability reporting」機能の一般提供を発表した。Private vulnerability reportingは、セキュリティ研究者とオープンソースメンテナーがオープンソースリポジトリーの脆弱(ぜいじゃく)性を報告・修正することを容易にするプライベート(非公開)なコラボレーションチャネル。

 GitHub Star、GitHub Security Ambassador、Open Source Security Foundation(OpenSSF)Project Alpha-OmegaのシニアオープンソースセキュリティリサーチャーであるJonathan Leitschuh氏は、研究者として最も苦労することの1つとして、メンテナーに脆弱性を開示するために連絡を取ることを挙げ、「Private vulnerability reportingは大きな前進」と述べる。

 Private vulnerability reportingは、GitHub Universe 2022でパブリックベータの提供が発表されており、3万以上の組織のメンテナーが18万以上のリポジトリーで有効にし、セキュリティ研究者から1000以上の提出を受け取ったという。

 オープンソースコミュニティーからのフィードバックを受け、一般提供に向けてPrivate vulnerability reportingには複数の機能が改善されている。

 Private vulnerability reportingの有効化は、パブリックベータ版では個々のリポジトリーでのみだったが、組織内の全リポジトリーでの有効化が可能になった。脆弱性の発見・修復に貢献した人にクレジットを付与する方法も選択できる。

 新しいリポジトリーセキュリティアドバイザリーAPIは、幾つかの新しい統合および自動化ワークフローをサポートした。プライベート脆弱性レポートをサードパーティーの脆弱性管理システムと連携可能になった。また、APIを使ってプログラム的に複数のリポジトリーでプライベート脆弱性レポートを開くこともできる。これにより、パッケージが共通の脆弱性を持っている場合に時間を節約できる。

 重要なリポジトリーへの監視を怠らないようにするため、新たな脆弱性レポートに関する通知を受けるために自動pingをスケジュールできる。

 Private vulnerability reportingは、GitHubのセキュリティ機能である「Dependabot」やコードスキャン、シークレットスキャンとともに、パブリックリポジトリーでは無料で利用できる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]