GitHub の新しいコード・スキャン:JavaScript/TypeScript のエコシステムをサポート

GitHub code scanning now finds more security vulnerabilities

2022/02/17 BleepingComputer — 昨日に GitHub は、機械学習を利用した新しいコード・スキャン解析機能を発表した。これにより、より一般的なセキュリティ脆弱性を、プロダクション環境に至る前に自動的に発見することが可能となる。この新しい実験的な静的解析機能は、JavaScript および TypeScript の GitHub リポジトリで、パブリック・ベータ版として提供されている。

GitHub の Tiferet Gazit と Alona Hlobina は、「新しい解析機能により、コードスキャンでは、クロ・スサイト・スクリプティング (XSS)、パス・インジェクション、NoSQL インジェクション、SQL インジェクションという4つの一般的な脆弱性パターンについて、さらに多くの警告を表示できる」と述べている。

彼らは、「この4つの脆弱性タイプを合わせると、JavaScript/TypeScript のエコシステムにおける脆弱性の多くを包含することになる。開発プロセスの初期段階で、このような脆弱性を検出するコードスキャンの能力を向上させることが、より安全なコードを開発者が書くための鍵となる」と述べている。

新しい実験的なコード解析機能により発見されるセキュリティ上の脆弱性は、登録済みのリポジトリの Security タブにアラートとして表示される。これらの新しいアラートには、Experimental というラベルが付けられ、Pull Requests タブからも利用できるようになる。

GitHub の実験的なコード・スキャン・アラート

2019年9月に GitHub がコード解析プラットフォーム Semmle を買収したことで、GitHub のコードスキャンを支えるコード解析エンジン CodeQL が、同プラットフォームの機能に追加された。GitHub は、2020年5月に GitHub Satellite で最初のコード・スキャンのベータ版を公開し、4カ月後の 2020年9月に一般提供を発表した。

ベータテストでは、コードスキャン機能を使って 12,000以上のリポジトリを 140万回スキャンし、リモートコード実行 (RCE)/SQL インジェクション/クロスサイト・スクリプティング (XSS) の欠陥などの、2万件以上のセキュリティ問題が発見された。

GitHub Code Scanning はパブリック・リポジトリでは無料で、また、GitHub Enterprise のプライベート・リポジトリでは、GitHub Advanced Security の機能として利用できる。新機能は、コードスキャンの security-extended 解析スイートと、security-and-quality 解析スイートで利用できる。

Gazit と Hlobina は、「機械学習モデルの改良とテストを続けている間に、この新しい実験的な解析は、標準的な CodeQL 解析の結果と比較して、より高い偽陽性率になる可能性があることに注意が必要だ。多くの機械学習モデルと同様に、時間が経過すれば結果は改善されるだろう」と付け加えている。

いつも、こんな脆弱性が見つかったとか、どこそこが攻撃されているとか、そんな話しが多いわけですが、この GitHub のコードスキャンのプロジェクトはイイですね。Semmle という企業を買収したことで、ここまで話が進んだようですが、2018年の Microsodt による GitHub の買収で、オープンソースに潤沢な資金が流れ込んだ結果だと思います。よろしければ、カテゴリ ParadigmShift も、ご参照ください。

%d bloggers like this: