Microsoft のクラウド バージョン管理サービスおよび不満フォーラムである GitHub は、オープンソース ソフトウェアのバグをより効率的に発見するために、同じ考えを持つ数社のパートナーと連携して GitHub Security Lab (GSL) を設立しました。
GSL は、GitHub のセキュリティ研究者、サードパーティのコード管理者、パートナー企業の関係者で構成されており、オープンソース コードのセキュリティ保護という困難なタスクに、より組織的な取り組みを提供することを目指しています。
GitHubの製品セキュリティ担当副社長ジェイミー・クール氏は、 The Registerとの電話インタビューで、GitHubのセキュリティ発表の全体的なテーマはコミュニティの力に焦点を当てることだと語った。
「これはGitHubを含め、どの企業も解決できない問題だと認識しています」と彼は述べた。「しかし、これは非常に重要な問題であり、だからこそ私たちはこれに多大な投資をしているのです。」
セキュリティラボの中核はGitHub社内のセキュリティチームです。クール氏によると、パートナー企業はすべて、より優れたソフトウェアの開発という共通の関心を持っています。
「基本的に、これらの企業がオープンソースソフトウェアの安全を確保するために持っているエネルギーを結集したかったのです」と彼は述べ、各社は専門知識、研究、ツールなど、何か具体的な貢献ができると説明した。
例えば、グーグルはソフトウェアファジングツールを導入しており、セキュリティコンサルタント会社のトレイル・オブ・ビッツは、他の業務がないときはオープンソースのバグ探しに時間を費やすことを約束している、と彼は述べた。
GSLは、修正が必要な脆弱性を詳細に記述した100件以上のCVEの作成を既に推進しており、まずは模範を示すことを目指しています。パートナーとして参加する他の企業も、セキュリティ研究の成果をオープンソースコミュニティに提供することで、コミュニティに貢献してくれることを期待しています。
これらのパートナーには、F5、Google、HackerOne、IOActive、JP Morgan、LinkedIn、Microsoft、Mozilla、NCC Group、Oracle、Trail of Bits、Uber、VMWare が含まれます。
GSL には、2 つの実用的なツールが付属しています。1 つは CodeQL (ソース コードから生成されたデータベースを照会して、脆弱なコード パターンのバリエーションを見つける言語)、もう 1 つは GitHub アドバイザリ データベース (GitHub からのセキュリティ アドバイザリと付随する修復情報の公開データ セット) です。
9月にGitHubは、ソフトウェア分析企業Semmleの脆弱性検索プラットフォームLGTM(Looks Good To Me)を買収しました。LGTMのデータ検索に使用されるCodeQLは、このツールのブランドイメージを刷新したものとなっています。
CodeQLが一般公開されたことで、脆弱なコードパターンを認識できる開発者は誰でも、CodeQLデータベースに変換されたソースファイル内で、そのテーマのバリエーションを検索できるようになりました。そしてMozillaは、その取り組みに対してインセンティブを提供しています。Firefoxの開発元であり、GSLパートナーであり、Semmleの技術を積極的に利用しているMozillaは、バグ報奨金プログラムを拡張し、CodeQLまたはClangベースのチェッカーで作成された静的解析クエリも受け付けるようになりました。
クール氏は、CodeQL によって脆弱性が発見されるだけでなく、同じ欠陥のあるパターンの再実装も回避できるようになることを期待していると述べた。
クール氏は木曜日のブログ投稿で、セキュリティ情報をより簡単かつ包括的に見つけられるようにする必要性について説明した。
パブやソファ、ビーチからGitHubでコードをマージしたいと思ったことがあるなら、そのためのモバイルアプリが登場しました。
続きを読む
「オープンソースにおける新たな脆弱性の40%は、発表時点ではCVE識別子が付与されておらず、公開データベースにも登録されていない」とクール氏は述べた。「重大な脆弱性の70%は、開発者への通知から30日経っても修正されていない。」
このギャップを埋めるために、GitHub には、ベータ版から一般提供に昇格した Security Advisories というサービスがあります。このサービスを使用すると、開発者は勧告を草稿し、該当するプロジェクトで非公開の議論を調整し、一時的な非公開プロジェクト フォークで修正に協力し、その後、GitHub によって付与された CVE 番号とパッチを適用したコードを付けて勧告を公開できます。
同様に、脆弱性が自動検出された場合にプル リクエストによる修正を促す Github の自動セキュリティ更新スキームも一般公開されました。
また、昨年秋にパブリックベータ版として導入されたトークンスキャン機能は、GoCardless、HashiCorp、Postman、Tencentといった多くのパートナーの注目を集めています。開発者がGitコミットで機密性の高いトークンを公開するのを防ぐこのサービスは、既にAlibaba Cloud、Atlassian、AWS、Azure、Discord、Dropbox、Google Cloud、Mailgun、npm、Proctorio、Pulumi、Slack、Stripe、Twilioといった企業にも利用されています。®
