GitHubは、GitHub Actionsのワークフローに存在する脆弱性をDependabotで告知すると発表した。
今回の発表によると、GitHubに実装されているCI/CDツール、GitHub Actionsのワークフローに存在する脆弱性に対して、Dependabotアラートを送信できるようになるという。
これにより、今までよりも簡単にGitHub Actionsワークフローで最新の状態を維持し、セキュリティの脆弱性を修正できるようになるとしている。
なおこのアラートにはGitHub Advisory Databaseが利用されており、GitHub Actionsのワークフローに含まれるセキュリティの脆弱性が報告されると、セキュリティ研究者のチームが脆弱性を文書化し、アドバイザリを作成する。
すると、影響を受けるリポジトリに対してアラートが通知されるという仕組みだ。GitHub Advisory Databaseのすべてのデータと同様に、これらのアドバイザリも検索可能となっており、無料で利用可能だとしている。
【関連記事】
・脆弱性管理クラウド「yamory」、Webアプリケーション/クラウドインフラの診断サービスを開始
・IPA「情報セキュリティ白書2022」を発売開始 トピックは「脆弱性」と「官民セキュリティ動向」など
・SOMPOホールディングスが「Tenable」導入 IT資産の可視化で脆弱性を検出
