ニュース
» 2020年10月13日 17時00分 公開

「CodeQL」エンジンがベース:脆弱性を発見するコードスキャン機能がGitHubに統合、セキュリティの問題が次々見つかる

GitHubはコードの脆弱性を簡単に発見できるコードスキャン機能の一般提供を開始した。GitHubの機能に溶け込んでいるため、開発ワークフローの一環としてセキュリティ上の課題を解決しやすい。

[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 GitHubは2020年9月30日(米国時間)、コードを本番環境に展開する前にコードの脆弱(ぜいじゃく)性を簡単に発見できるコードスキャン機能の一般提供を開始した。

 GitHubはSemmleの買収で獲得したセマンティックコード解析エンジン「CodeQL」のコード解析機能をGitHubのネイティブ機能として提供することに取り組んできた。今回のコードスキャン機能は、CodeQLの機能をGitHubにネイティブに統合したものだ。2020年5月のβ版リリースを経て、今回正式版の提供を開始した。

 β版では1万2000以上のリポジトリが140万回スキャンされ、リモートコード実行(RCE)やSQLインジェクション、クロスサイトスクリプティング(XSS)といった脆弱性を含む2万以上のセキュリティ問題が見つかった。

 マージ前のプルリクエストで報告があったセキュリティ上の問題の72%を、報告から30日以内に修正できた。業界のデータによると、発見後1カ月以内で修正できたセキュリティ上の問題はこれまで30%未満だという。つまりコードスキャン機能を使うと、セキュリティ上のエラーを従来と比べて大幅に効率良く修正できる。

GitHubのコードスキャン機能(出典:GitHub、クリックで再生)

わざわざコードスキャン機能を実行しなければならないのか

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。