GitHubは、米現地時間12月18日に1周年を迎えたGitHub Security Labの新たな活動方針を発表した。
GitHub Security Labのミッションは、セキュリティ研究、コミュニティの構築、業界の積極的な関与という、オープンソースソフトウェア(OSS)における3つの主軸に重点的に取り組むことだという。
セキュリティ研究
Security Labの主な取り組みは、OSSに潜む脆弱性が攻撃される前に検出するための研究だとしている。CodeQLによるバリアント解析やターゲットを絞ったファジング、手動でのコードレビューを通じて、オープンソースコミュニティ全体で400件を超える問題を報告。これまでに共通脆弱性識別子(CVE)が割り当てられたのは、194件にのぼるという。
コミュニティの構築
コミュニティでは、セキュリティ研究者が知識を共有したり、開発プラットフォームであるGitHubを使用して取り組みを拡大したりと従来のセキュリティ研究のルートを越えて開発者をサポートしている。
たとえばSecurity Labのバグ報奨金プログラムでは、研究者にバグの報告を依頼するだけでなく、これらのバグを大規模に自動検出するCodeQLクエリの作成も依頼しているという。昨年、GitHubは20名を超えるコントリビューターに対して報奨金として10万ドル以上を提供している。
こうした報酬の結果として作成されたクエリは現在、Code Scanningを使用して何十万ものオープンソースプログラムで継続的に実行され、脆弱性の再発を阻止しているという。
業界の積極的な関与
同社は、一昨年のGitHub Security Labの発表と同時に、OSSの保護に尽力している世界中の企業と組織を1つにまとめるOpen Source Security Coalition(OSSC)も立ち上げた。その創設メンバーとして、Google、HackerOne、IOActive、Mozilla、Microsoft、NCC Group、Trail of Bitsなど、21社を迎え入れている。
OSSCには4つのアクティブなワーキンググループがあり、脆弱性の開示、オープンソースプロジェクトへの脅威の特定、オープンソース開発者向けのベストプラクティス、およびセキュリティツールに重点的に取り組んでいるという。
今後のGitHub Security Labについて
これまで194件のCVEを検出してきたが、2021年に新しいCVEをどれだけ検出できるかという競争は、既に始まっているとしている。同社の研究が開発者とセキュリティ研究者の両方のコミュニティにとって実用的な内容となることを目指し、新たに取り組んでいくという。
また2021年は、OSS脆弱性ワークフローにコミュニティ全体が参加し、信頼できるワークフローにできるよう、Security Labがより直接的に関与していくとしている。
【関連記事】
・GitHub Archive Program、21TBにおよぶリポジトリデータの北極圏への保管が完了
・freee、「GitHub Enterprise」への移行によってグループ権限管理などを見直し
・オープンソース統合監視ソフトウェアの最新版「Zabbix 5.0」を搭載した5製品を発売
・東芝デジタルソリューションズ、「GridDB」のSQLインターフェースをオープンソースとして無償公開
・約5割が取引先の対策に懸念【IPA テレワークのセキュリティ実態調査】
