GitHub、プライベート脆弱性レポート機能を一般提供

今回は「GitHub、プライベート脆弱性レポート機能を一般提供」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 GitHubは米国時間4月19日、「Private vulnerability reporting」機能の一般提供を発表した。Private vulnerability reportingは、セキュリティ研究者とオープンソースメンテナーがオープンソースリポジトリーの脆弱(ぜいじゃく)性を報告・修正することを容易にするプライベート(非公開)なコラボレーションチャネル。

 GitHub Star、GitHub Security Ambassador、Open Source Security Foundation(OpenSSF)Project Alpha-OmegaのシニアオープンソースセキュリティリサーチャーであるJonathan Leitschuh氏は、研究者として最も苦労することの1つとして、メンテナーに脆弱性を開示するために連絡を取ることを挙げ、「Private vulnerability reportingは大きな前進」と述べる。

 Private vulnerability reportingは、GitHub Universe 2022でパブリックベータの提供が発表されており、3万以上の組織のメンテナーが18万以上のリポジトリーで有効にし、セキュリティ研究者から1000以上の提出を受け取ったという。

 オープンソースコミュニティーからのフィードバックを受け、一般提供に向けてPrivate vulnerability reportingには複数の機能が改善されている。

 Private vulnerability reportingの有効化は、パブリックベータ版では個々のリポジトリーでのみだったが、組織内の全リポジトリーでの有効化が可能になった。脆弱性の発見・修復に貢献した人にクレジットを付与する方法も選択できる。

 新しいリポジトリーセキュリティアドバイザリーAPIは、幾つかの新しい統合および自動化ワークフローをサポートした。プライベート脆弱性レポートをサードパーティーの脆弱性管理システムと連携可能になった。また、APIを使ってプログラム的に複数のリポジトリーでプライベート脆弱性レポートを開くこともできる。これにより、パッケージが共通の脆弱性を持っている場合に時間を節約できる。

 重要なリポジトリーへの監視を怠らないようにするため、新たな脆弱性レポートに関する通知を受けるために自動pingをスケジュールできる。

 Private vulnerability reportingは、GitHubのセキュリティ機能である「Dependabot」やコードスキャン、シークレットスキャンとともに、パブリックリポジトリーでは無料で利用できる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Huawei、売上高前年比3.8%増 中国市場拡大も米禁輸措置で海外逆風
IT関連
2021-04-03 10:49
オスロのVC6社に聞く2021年のスタートアップ界の近況と展望
VC / エンジェル
2021-05-19 12:38
ヘルスケア業界のデジタル変革、コロナ禍で加速も他業界より遅れ–グーグル調査
IT関連
2021-08-13 02:54
米議会の新しいプライバシー法は警察がブローカーからデータを買う慣行に終止符
パブリック / ダイバーシティ
2021-04-23 02:44
NTTデータ、地銀共同利用のオープン勘定系システムを稼働開始
IT関連
2024-01-06 11:37
BIPROGY、金融ソリューション群を共通アーキテクチャーで統合へ
IT関連
2023-02-12 06:24
配車サービス用のEV生産に向けUberとArrivalが提携
モビリティ
2021-05-06 03:18
ID管理のOkta、Auth0を買収へ–約7000億円
IT関連
2021-03-05 03:15
極小3Dプリント技術のScronaは大規模な製造業向けのプランを立ち上げる
IT関連
2022-02-17 08:59
グーグルがChromebookの10周年を記念しChrome OSに多数の新機能を追加
ハードウェア
2021-03-11 21:03
人材部門は生成AIに備えられているか?–まだやるべきことが多いとの調査結果
IT関連
2024-04-09 04:37
メインフレームのユーザーが途方に暮れていく–ガートナーが見解
IT関連
2023-03-18 00:13
プログラミング教育のライフイズテックと大阪府が高校向け大阪版情報教育モデルの構築に向け連携協定を締結
IT関連
2022-01-21 00:33
コンテンツクラウドで日本社会のDX実現–Box Japan・古市社長
IT関連
2023-01-07 14:02