OSSの脆弱性修正をスピーディーに GitHub.comが新機能のベータ版を公開

GitHub.comに新たなセキュリティ機能が追加された。OSSの脆弱性報告を容易化し、迅速な修正を促す狙いがあるものとみられる。

[後藤大地，有限会社オングス]

　GitHubは2022年11月9日（現地時間）、「GitHub.com」に新たなセキュリティ機能を導入したと伝えた。

　本稿執筆時点で、同機能はベータ版と位置付けられており今後機能が変更される可能性もある。GitHub.comでホスティングされるソフトウェアの脆弱（ぜいじゃく）性修正が迅速化される可能性を秘めた機能であり、今後の利用が注目される。

GitHubは「GitHub.com」の新たなセキュリティ機能の導入を伝えた（出典：GitHubのWebサイト）

GitHub.comに新しいセキュリティ機能が追加された経緯とは？

　全世界のソフトウェアセキュリティ研究者は、さまざまなオープンソースソフトウェア（OSS）について調査し、日々新たな脆弱性を発見している。こうして発見された脆弱性は対象のソフトウェアのメンテナーやオーナーに報告され、適切なコミュニケーションを経て修正されたのち、その情報が開示されることが好ましい。

　だが実際は、誰に対してどのように脆弱性を伝えればよいのか、その連絡先と連絡方法を探すのに多大な労力がかかっているのが実情だ。適切な連絡先や連絡方法が分からず、結果的に脆弱性情報が先行して公開されたり、いつまでも修正されなかったりといったリスクの高い状況を生んでいる。

　GitHub.comに導入された新たなセキュリティ機能は、脆弱性の報告を容易化できるというものだ。メンテナーやオーナは、この機能を通じて脆弱性の情報を受け取り、必要なときが来るまで秘匿した状態で情報をやりとりできるとされている。GitHubとしては脆弱性の修正に向けた適切な機能を提供することで、脆弱性修正の迅速化を促す狙いがあるものとみられる。

　同機能は「Security」→「Overview」→「Private vulnerability report」で「Enable vulnerability reporting」→「Enable」を選択することで有効化でき、機能が有効になると「Security」→「Advisories」のページに新しく「Report a vulnerability」というボタンが追加される。

　OSSの脆弱性は発見まで非常に時間がかかることが近年の調査で明らかになっている。多くのOSSプロジェクトで活用されるGitHub.comで、脆弱性の修正迅速化を向けた機能が取り込まれることは、こうした状況の改善につながる可能性がある。