OSSの脆弱性修正をスピーディーに GitHub.comが新機能のベータ版を公開
GitHub.comに新たなセキュリティ機能が追加された。OSSの脆弱性報告を容易化し、迅速な修正を促す狙いがあるものとみられる。
GitHubは2022年11月9日(現地時間)、「GitHub.com」に新たなセキュリティ機能を導入したと伝えた。
本稿執筆時点で、同機能はベータ版と位置付けられており今後機能が変更される可能性もある。GitHub.comでホスティングされるソフトウェアの脆弱(ぜいじゃく)性修正が迅速化される可能性を秘めた機能であり、今後の利用が注目される。
GitHub.comに新しいセキュリティ機能が追加された経緯とは?
全世界のソフトウェアセキュリティ研究者は、さまざまなオープンソースソフトウェア(OSS)について調査し、日々新たな脆弱性を発見している。こうして発見された脆弱性は対象のソフトウェアのメンテナーやオーナーに報告され、適切なコミュニケーションを経て修正されたのち、その情報が開示されることが好ましい。
だが実際は、誰に対してどのように脆弱性を伝えればよいのか、その連絡先と連絡方法を探すのに多大な労力がかかっているのが実情だ。適切な連絡先や連絡方法が分からず、結果的に脆弱性情報が先行して公開されたり、いつまでも修正されなかったりといったリスクの高い状況を生んでいる。
GitHub.comに導入された新たなセキュリティ機能は、脆弱性の報告を容易化できるというものだ。メンテナーやオーナは、この機能を通じて脆弱性の情報を受け取り、必要なときが来るまで秘匿した状態で情報をやりとりできるとされている。GitHubとしては脆弱性の修正に向けた適切な機能を提供することで、脆弱性修正の迅速化を促す狙いがあるものとみられる。
同機能は「Security」→「Overview」→「Private vulnerability report」で「Enable vulnerability reporting」→「Enable」を選択することで有効化でき、機能が有効になると「Security」→「Advisories」のページに新しく「Report a vulnerability」というボタンが追加される。
OSSの脆弱性は発見まで非常に時間がかかることが近年の調査で明らかになっている。多くのOSSプロジェクトで活用されるGitHub.comで、脆弱性の修正迅速化を向けた機能が取り込まれることは、こうした状況の改善につながる可能性がある。
関連記事
- SSVC方法論とは? 脆弱性管理手法の新潮流をCISAが解説
CISAは脆弱性を評価して修復作業に優先順位を付ける脆弱性管理手法「SSVC方法論」を公開した。リソース不足で脆弱性対処に手が回らないユーザーは同方法論を参考に脆弱性を優先順位付けしてほしい。 - VMware Workspace ONE AssistにCVSSv3スコア9.8の脆弱性 直ちに対策を
VMwareのリモートサポートソリューション「VMware Workspace ONE Assist」にCVSSv3スコア9.8に該当する複数の脆弱性が見つかった。これらを悪用されると影響を受けたシステムの制御権を乗っ取られる可能性があるため注意してほしい。 - Microsoftが11月の累積更新プログラムを配信 悪用確認済みの脆弱性に対処
Microsoftは2022年11月の累積更新プログラムを配信した。今回のアップデートで修正対象となった脆弱性の中には既に悪用されているものも含まれており、直ちにアップデートを適用することが求められる。 - Samsungデバイスのユーザーは要確認を 「既知の悪用された脆弱性カタログ」に7件が追加
既知の悪用された脆弱性カタログに7件の脆弱性が追加された。脆弱性が含まれる製品の中にはSamsungのモバイルデバイスなどもある。詳細を確認の上、迅速に対応してほしい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.