GitHub makes it easier to scan your code for vulnerabilities
2023/01/09 BleepingComputer — GitHub が新たに導入したオプションは、”default setup” と呼ばれるリポジトリのコード・スキャンを設定するものであり、開発者が数回クリックするだけで自動的にコードがスキャンされるという。GitHub のコード・スキャンを支える CodeQL コード解析エンジンは、多くの言語とコンパイラをサポートしているが、この新しいオプションは Python/JavaScript/Rubyのリポジトリに対してのみ表示される。Product Marketing Manager である Walker Chabbott によると、GitHub は今後6ヶ月間において、より多くの言語へのサポート拡大に取り組んでいくとのことだ。
新しいコード・スキャン設定オプションを使うためには、リポジトリの設定で “Code security and analysis” へ行き、ドロップダウン・メニュー “Set up” をクリックし、Default オプションを選択する必要がある。Default をクリックすると、リポジトリの内容に基づき調整された設定概要が、自動的に表示される。
Chabbott は、「この操作により、リポジトリで検出された言語/使用されるクエリーパック/スキャン・トリガー・イベントなどが取り込まれる。将来的には、これらのオプションは、カスタマイズできるようになる」と述べている。
そして、”Enable CodeQL” をクリックすると、リポジトリ内の脆弱性が直ちにコード・スキャンされ、見つかった不具合にパッチが当てられ、より安全なソフトウェアを作成できるようになる。
CodeQL コード解析エンジンは、2019年9月に GitHub が Semmle を買収した後に、このプラットフォームのコード解析機能として追加されたものだ。2020年5月に GitHub Satellite で、最初のコード・スキャン・ベータがテストされ、その4カ月後の 2020年9月に一般提供が発表されている。
ベータ・テストでは、この機能を使って 1万2000以上のリポジトリを 140万回スキャンし、リモートコード実行/SQL インジェクション/クロスサイト・スクリプティングの不具合など、2万件以上のセキュリティ脆弱性を発見したとのことだ。
このコード・スキャンは、すべてのパブリック・リポジトリにおいて無料で利用可能となり、また、GitHub Enterprise プライベートリポジトリでは、GitHub Advanced Security の機能として利用できるようになる。
2022年12月に GitHub は、公開されたシークレット (認証トークンや認証情報など) の無料スキャンを、すべての公開リポジトリでサポートするようになった。
このブログの中を、GitHub + Vulnerability で検索したら、2021年8月の「Google Allstar は GitHub のセキュアな運用のためのオープンソース」と、2022年10月の「MyOpenVDP で脆弱性を通知:OSS で実現する Vulnerability Disclosure Policy とは?」が見つかりました。ただし、前者に関しては、どちらかというとポリシー設定が主眼であり、後者に関しては、発見された脆弱性に関する情報共有のためのポリシー設定という感じです。今回の Code Scanning との関連は分かりませんが、一歩ずつ進んでいるのでしょう。今後にも期待です。
IoT OT Security News 
You must be logged in to post a comment.