GitHub、脆弱性スキャンツールを正式リリース - ベータテストで2万件を発見

GitHubは、ソースコードより脆弱性を発見し、開発者へ修正提案を行う機能「Code Scanning」をリリースした。

同社が2019年9月に買収したSammleのコード解析技術を活用したもの。5月に同機能をGitHubへ統合した初回ベータ版をリリース。テストやフィードバックなどを経て今回正式にリリースした。パブリックリポジトリで利用できる。

解析ツール「CodeQL」において、GitHubやコミュニティが作成した2000件以上のクエリや、カスタムクエリを用いてソースコードをスキャンすることが可能。スキャン後は、プルリクエストとして修正すべき点を表示。効果が少ない大量の修正提案を示すのではなく、修正すべき提案に絞り込み表示するとしている。

「SARIF」に基づき開発されているため、アプリケーションセキュリティテストソリューションをワークフローに取り込むことができるほか、サードパーティ製のスキャンエンジンの統合なども行える。

ベータ公開時には、1万2000以上のリポジトリに対し、140万回のスキャンを実行。リモートよりコードの実行が可能となる脆弱性をはじめ、SQLインジェクション、クロスサイトスクリプティング（XSS）など、2万件以上のセキュリティに関する問題を発見したという。

（Security NEXT - 2020/10/06 ） ツイート

PR

関連記事

物価高騰対策のゴミ収集袋送付で不備、ラベル二重貼付 - 青梅市
海外法人が昨年末にランサム被害、年明け後判明 - 新光商事
都スタートアップ支援拠点のサイトが改ざん - 影響など詳細を調査
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を
ファンクラブ会員メールに他人氏名、事務局ミスで - 大阪ブルテオン
Windows環境の「Symfony」でシェル経由処理に問題 - 破壊的操作のおそれ
生活保護関連書類持ち帰り家庭ゴミとして処分、情報流出や未支給も - 旭川市