GitHub は、開発者が脆弱性をスキャンするための簡単な方法をリリースします

GitHub は、開発者が手動セットアップなしで脆弱性をスキャンする簡単な方法をリリースします

サイバーセキュリティのニュースを追っている多くの人が認識しているように、セキュリティ研究者と攻撃者はどちらも定期的にセキュリティ上の欠陥を発見しており、開発者はこれらの欠陥に対するパッチを作成して発行するようになっています。 セキュリティ ホールを修正することは素晴らしいことですが、攻撃者がこれまで発見されていなかった脆弱性を積極的に利用する場合、それは恐ろしいニュースです。 セキュリティ研究者は、問題が発生する前に欠陥を見つけて開発者に通知するように取り組んでいますが、攻撃者の裏をかくことができるとは限りません。 コード ホスティング サイトの GitHub は、開発者が自分のリポジトリの内容をスキャンしてセキュリティの脆弱性を簡単に調べられるようにし、開発者がセキュリティの問題を見つけ出す競争を支援できるようにしました。

プラットフォームの高度な高度なセキュリティ機能セットは、GitHub 独自のセマンティック コード分析エンジンである CodeQL によって強化されており、この新しいセキュリティ スクリーニング オプションで使用されています。 これまで、CodeQL 分析エンジンを使用してコードの脆弱性をスキャンしたい開発者は、独自の脆弱性を構築する必要がありました。 特定の間隔で各リポジトリを検索するようにエンジンに指示した YAML ファイル。 開発者は、新しい「デフォルト設定」オプションのおかげで、手動セットアップやサブスクリプションを必要とせずに、パブリック リポジトリの CodeQL スキャンを有効にするオプションを利用できるようになりました。

各リポジトリの「設定」タブには、リポジトリ管理者がアクセスできる新しいオプションがあります。 「セキュリティ」のタイトルの下に、「コードのスキャン」を選択できる「コードのセキュリティと分析」ページがあります。 「CodeQL 分析」オプションの横にある「セットアップ」ボタンは、ユーザーに「デフォルト」と「詳細」のどちらかを選択するように求めます。 開発者は、カスタマイズされた one.YAML ファイルを使用して、後者の構成オプションを使用して CodeQL スキャンを手動で構成できますが、「デフォルト」を選択することでこの手順を省略できます。 CodeQL がリポジトリで検出するプログラミング言語、分析で使用されるクエリ スイート、および新しいスキャンを開始するイベントはすべて、選択後にデフォルトのセットアップ プロンプトに表示されます。 次のステップは、これらの条件が適切であると思われる場合は、「CodeQL を有効にする」をクリックすることです。

GitHub によると、ユーザーは最終的にクエリ スイートとイベントを調整できるようになりますが、当面の間、既定のセットアップでは一連のプリセット設定が使用されます。 さらに、デフォルトのセットアップでは、リポジトリに JavaScript/TypeScript、Python、および Ruby のみを含めることが義務付けられています。 CodeQL 分析エンジンではより多くの言語がサポートされていますが、GitHub はそれらをデフォルトの設定オプションで利用できるようにするための作業を続けています。 当面の間、追加の言語を含むリポジトリでスキャンを実行したい場合、開発者は詳細設定オプションを続行する必要があります。

CodeQL スキャンがどのように設定されているかに関係なく、一度有効にすると、セキュリティ ホールを見つけて開発者に警告するためにバックグラウンドで動作します。 その後、開発者は、発見された脆弱性を修正するための適切な措置を講じることができます。

ソフトウェア監査会社 Veracode の最高技術責任者である Chris Wysopal 氏は、GitHub はオープンソース コミュニティがセキュリティにアプローチする方法に大きな影響を与える立場にあるものの、GitHub が行っている進歩は他のセクターの責任を免除するものではないと述べています。

Wysopal によれば、GitHub は自然にオープンであるため、GitHub がオープンソース エコシステムを変更するために何か行動を起こす必要はありません。 サード パーティがすべての GitHub リポジトリを検索して脆弱性を探し、発見したことをプロジェクトのメンテナーに通知することを妨げるものは何もありません。

それを行うにはかなりの費用がかかります。 GitHub によると、Advanced Security で無料の脆弱性スクリーニングおよび分析ツールを提供するコストは、数百万ドルに上ります。 しかし、同社は、その投資が、オープンソースにセキュリティを優先させることの利点を示す可能性があると考えています.

Leave a Comment

Your email address will not be published. Required fields are marked *