GitHub、プライベート脆弱性レポート機能を一般提供

今回は「GitHub、プライベート脆弱性レポート機能を一般提供」についてご紹介します。

関連ワード （ソフトウェア等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　GitHubは米国時間4月19日、「Private vulnerability reporting」機能の一般提供を発表した。Private vulnerability reportingは、セキュリティ研究者とオープンソースメンテナーがオープンソースリポジトリーの脆弱（ぜいじゃく）性を報告・修正することを容易にするプライベート（非公開）なコラボレーションチャネル。

　GitHub Star、GitHub Security Ambassador、Open Source Security Foundation（OpenSSF）Project Alpha-OmegaのシニアオープンソースセキュリティリサーチャーであるJonathan Leitschuh氏は、研究者として最も苦労することの1つとして、メンテナーに脆弱性を開示するために連絡を取ることを挙げ、「Private vulnerability reportingは大きな前進」と述べる。

　Private vulnerability reportingは、GitHub Universe 2022でパブリックベータの提供が発表されており、3万以上の組織のメンテナーが18万以上のリポジトリーで有効にし、セキュリティ研究者から1000以上の提出を受け取ったという。

　オープンソースコミュニティーからのフィードバックを受け、一般提供に向けてPrivate vulnerability reportingには複数の機能が改善されている。

　Private vulnerability reportingの有効化は、パブリックベータ版では個々のリポジトリーでのみだったが、組織内の全リポジトリーでの有効化が可能になった。脆弱性の発見・修復に貢献した人にクレジットを付与する方法も選択できる。

　新しいリポジトリーセキュリティアドバイザリーAPIは、幾つかの新しい統合および自動化ワークフローをサポートした。プライベート脆弱性レポートをサードパーティーの脆弱性管理システムと連携可能になった。また、APIを使ってプログラム的に複数のリポジトリーでプライベート脆弱性レポートを開くこともできる。これにより、パッケージが共通の脆弱性を持っている場合に時間を節約できる。

　重要なリポジトリーへの監視を怠らないようにするため、新たな脆弱性レポートに関する通知を受けるために自動pingをスケジュールできる。

　Private vulnerability reportingは、GitHubのセキュリティ機能である「Dependabot」やコードスキャン、シークレットスキャンとともに、パブリックリポジトリーでは無料で利用できる。