GitHub は、自動化されたコードスキャンツールをすべてのオープンソース プロジェクトに無料で提供しています。
コードリポジトリハウスによれば、その目的は、開発者が事前にセキュリティ上の脆弱性を見つけられるように支援することであり、小規模プロジェクトと大規模プロジェクトの両方に有効な規模でそれを実行することだという。
この機能は、GitHubが昨年英国拠点のSemmleを買収した際に購入したコードチェックツールをベースとしており、新しいプッシュリクエストが行われると自動的にコードをグラフ化してスキャンし、セキュリティ上の脆弱性を引き起こす可能性のあるいくつかの一般的なエラーをチェックする。
GitHub のシニア プロダクト マネージャーである Justin Hutchings 氏はThe Registerに対し、Semmle (そして現在は GitHub) のスキャンの主要コンポーネントは、コードをグラフ化して間違いがないかチェックするクエリ言語である CodeQL であると語った。
「その能力はセキュリティにおいて非常に有用であることが判明しました」とハッチングス氏は述べた。「セキュリティ上の問題のほとんどは、データフローの不具合、あるいは何らかの形でのデータ使用の不具合に起因しています。」
GitHubがCodespacesでホスト型Visual Studio Codeを展開
続きを読む
機能自体は GitHub にとって新しいものですが、基盤となる Semmle ツールは長年にわたって使用されてきたため、GitHub では、オープンソース プロジェクトで無料でリリースしたり、GitHub の有料 (エンタープライズ) のクローズド ソース部分のアドオンとしてリリースしたりすれば、すぐに効果を発揮すると考えています。
コードスキャン機能は、バグを徹底的にチェックするのに十分な作業時間がない小規模プロジェクトに最も有益であると考えられるが、この機能をクラウドベースにすることで、より大規模な開発者も希望リストに載っている機能を実現できるとハッチングス氏は指摘した。
「当社の多くの法人顧客は、これを当社のクラウド上で大規模に実行できることに興奮しています」と彼は語った。
「セキュリティ分析は膨大な計算量を必要とし、数百万行ものコードを処理します。これを迅速に実行することが求められており、私たちはついにこの機能をホスト型クラウド環境に導入することで、これまでよりも迅速にスケールアップできるようになります。」
GitHubは、セキュリティバグのスキャンに加え、商用開発者向けにオフラインリポジトリのスキャンや、パブリックインターネットに公開された場合にネットワーク侵害やデータ漏洩につながる可能性のある公開されたシークレット(キー、認証情報など)のスキャンを行うオプションも追加しました。これまではパブリックリポジトリ(AWSやGoogle Cloudなど)に限定されていましたが、今後はプライベートGitHubリポジトリでもシークレットスキャンを実行できるようになります。
ハッチングス氏によると、この追加機能はセキュリティ機能だけでなく、安定性向上機能でもあるという。開発者は、変更内容を追跡・記録することで、定期的な鍵変更を義務付けるセキュリティポリシーを遵守できるようになる。これにより、開発者は鍵の変更が適切に報告・処理されない場合に発生する可能性のある障害やダウンタイムを回避できる。®
