GitHub、脆弱性スキャンツールを正式リリース - ベータテストで2万件を発見

GitHubは、ソースコードより脆弱性を発見し、開発者へ修正提案を行う機能「Code Scanning」をリリースした。

同社が2019年9月に買収したSammleのコード解析技術を活用したもの。5月に同機能をGitHubへ統合した初回ベータ版をリリース。テストやフィードバックなどを経て今回正式にリリースした。パブリックリポジトリで利用できる。

解析ツール「CodeQL」において、GitHubやコミュニティが作成した2000件以上のクエリや、カスタムクエリを用いてソースコードをスキャンすることが可能。スキャン後は、プルリクエストとして修正すべき点を表示。効果が少ない大量の修正提案を示すのではなく、修正すべき提案に絞り込み表示するとしている。

「SARIF」に基づき開発されているため、アプリケーションセキュリティテストソリューションをワークフローに取り込むことができるほか、サードパーティ製のスキャンエンジンの統合なども行える。

ベータ公開時には、1万2000以上のリポジトリに対し、140万回のスキャンを実行。リモートよりコードの実行が可能となる脆弱性をはじめ、SQLインジェクション、クロスサイトスクリプティング（XSS）など、2万件以上のセキュリティに関する問題を発見したという。

（Security NEXT - 2020/10/06 ） ツイート

PR

関連記事

マイナンバー含む給与支払報告書を誤送付 - 横浜市
「PHP 8.0.12」がリリース、権限昇格の脆弱性など修正
群馬県、特別児童扶養手当受給者名簿を誤送付 - 「PPAP」裏目に
個人用ESETに新バージョン - 上位Windows版にクラウドサンドボックス
検査の動画データなど含むバックアップ用HDDが所在不明 - 半田病院
2021年2Qの不正送金 - 件数大幅減となるも被害額は微増
「VMware vRealize Operations Tenant App」に情報漏洩の脆弱性
脆弱性の届出、前四半期の約3分の2に - ウェブ関連が半減
Google、「Chrome 95」をリリース - 19件のセキュリティ修正
ドッグウェアの通販サイトに不正アクセス - クレカ情報流出