GitHub、脆弱性自動検知のコードスキャン機能を追加

GitHub、脆弱性自動検知のコードスキャン機能を追加
Graphic: Github/Gizmodo US

オクトキャットが好き。

世界最大のソースコードのホスト、GitHub。開発側ではないフツーの人には縁がないサービスでありながら、これがないとフツーの人の世界もきっと回っていないという非常にありがたい存在。そのGitHubに、さらにありがたい機能が追加されました。先週水曜日の発表から、脆弱性を自動検知してくれるコードスキャニング機能が提供スタートしています。

話は一瞬遡り、去年のこと。GitHubを傘下に持つMicrosoftがSemmleという、コード解析エンジンを開発した企業を買収しました。このコード解析エンジン、実はUber、NASA、Googleという名だたる大手のコードのセキュリティ脆弱性を見つけるのに使われていたもの。今回、このSemmleの技術から、GitHubは数ヶ月にわたるベータテストを経て、新機能として本リリースへ。

機能自体は至ってシンプル。GitHubコミュニティから集まった2,000を超えるあるあるクエリを、リアルタイムで自動スキャン。問題が見つかれば、開発者に知らせてくれます。開発者が、新たな脆弱性を発見した場合、本機能のチェック項目に新たなクエリとして追加すること可能。

大きな開発チームはこういうの社内でやっているんでしょうが、GitHubが提供してくれることで、小規模開発チームにとっては大きな手助けとなりますね。GitHubが引用した業界データによれば、脆弱性の約30%はプロジェクトリリースから1ヶ月以内に発見されるそうです。また、GitHubのベータテストでは、コードスキャン機能を使用したユーザーは、報告されたセキュリティエラーのうち72%を発見、事前に修正ができたといいます。

コードスキャン機能、公開リポジトリでの使用は無料。非公開プロジェクトで使用したい場合は、GitHub Enterprise(有料)の登録が必要になります。

Source: GitHub

Semmle ほしい?

  • 0
  • 0

シェアする

    あわせて読みたい