GitHub は、プロジェクトのサードパーティ依存関係に対してセキュリティ パッチを自動的に提供できるようになりました。
マイクロソフト所有のソースコード管理サイトは水曜日、ベータ版の新機能を発表した。この機能を有効にすると、開発者は自動的に生成されたプルリクエストを受け取り、承認されるとプロジェクトの依存関係にセキュリティ修正が適用される。
例えば、リンジーは外部開発者による3つのパッケージを利用するプロジェクトを保守しているプログラマーで、この新機能をオプトインしています。これらのパッケージの1つにセキュリティ脆弱性に対するパッチが必要になった場合、リンジーは自動的に生成されたプルリクエストを受け取ります。このプルリクエストが承認されると、修正されたパッケージがプロジェクトにマージされます。
これらの自動更新は、現時点ではRuby、Python、Java、.NET、JavaScriptで記述された依存関係に限定されます。また、この機能を利用するには、プロジェクトで依存関係グラフが有効になっている必要があり、今後数ヶ月かけて段階的にコーディング担当者に展開される予定です。
マイクロソフト?それは単なる提携に過ぎないとGitHub CEOは主張
続きを読む
パッチ適用済みの依存関係をマージする前に、開発者には互換性スコアが提示され、アップデートによってコードが破損するかどうかを判断できます。セキュリティ修正によってAPI機能などが変更され、その後のビルドが失敗する可能性があります。
理想的には、プログラマーはセキュリティパッチを別のブランチまたはローカルのコードに適用し、テストを行い、すべてがうまく動作すれば修正を受け入れ、ユーザーがダウンロードしてインストールできるように更新ビルドをプッシュする必要があります。互換性スコアが高く、修正が緊急の場合は、プルをすぐに受け入れることをお勧めします。
「自動化されたセキュリティリクエストには、リリースノート、変更ログエントリ、コミットの詳細といった脆弱性に関する情報を含め、提案された修正を迅速かつ安全に確認してプロジェクトにマージするために必要なものがすべて含まれています」とGitHubは新機能の発表で述べた。
自動アップデートには、GitHubがわずか7日前に買収した自動アップデートツール「Dependabot」が活用されます。今週初め、GitHubのCEOであるナット・フリードマン氏は、家庭用自動掃除機ロボット「Roomba」にちなんで、このツールを「コード版Roomba」と絶賛しました。
Dependabot の買収は、GitHub がオープンソース プロジェクトへの新たな資金提供を推進するとともに、無料およびプレミアム サービスの顧客向けに新しい管理および管理者のオプションを追加するという大規模な取り組みの一環です。®
