SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

GitHub Security Lab、新たな活動方針を発表

 GitHubは、米現地時間12月18日に1周年を迎えたGitHub Security Labの新たな活動方針を発表した。

 GitHub Security Labのミッションは、セキュリティ研究、コミュニティの構築、業界の積極的な関与という、オープンソースソフトウェア(OSS)における3つの主軸に重点的に取り組むことだという。

セキュリティ研究

 Security Labの主な取り組みは、OSSに潜む脆弱性が攻撃される前に検出するための研究だとしている。CodeQLによるバリアント解析やターゲットを絞ったファジング、手動でのコードレビューを通じて、オープンソースコミュニティ全体で400件を超える問題を報告。これまでに共通脆弱性識別子(CVE)が割り当てられたのは、194件にのぼるという。

コミュニティの構築

 コミュニティでは、セキュリティ研究者が知識を共有したり、開発プラットフォームであるGitHubを使用して取り組みを拡大したりと従来のセキュリティ研究のルートを越えて開発者をサポートしている。

 たとえばSecurity Labのバグ報奨金プログラムでは、研究者にバグの報告を依頼するだけでなく、これらのバグを大規模に自動検出するCodeQLクエリの作成も依頼しているという。昨年、GitHubは20名を超えるコントリビューターに対して報奨金として10万ドル以上を提供している。

 こうした報酬の結果として作成されたクエリは現在、Code Scanningを使用して何十万ものオープンソースプログラムで継続的に実行され、脆弱性の再発を阻止しているという。

業界の積極的な関与

 同社は、一昨年のGitHub Security Labの発表と同時に、OSSの保護に尽力している世界中の企業と組織を1つにまとめるOpen Source Security Coalition(OSSC)も立ち上げた。その創設メンバーとして、Google、HackerOne、IOActive、Mozilla、Microsoft、NCC Group、Trail of Bitsなど、21社を迎え入れている。

 OSSCには4つのアクティブなワーキンググループがあり、脆弱性の開示、オープンソースプロジェクトへの脅威の特定、オープンソース開発者向けのベストプラクティス、およびセキュリティツールに重点的に取り組んでいるという。

今後のGitHub Security Labについて

 これまで194件のCVEを検出してきたが、2021年に新しいCVEをどれだけ検出できるかという競争は、既に始まっているとしている。同社の研究が開発者とセキュリティ研究者の両方のコミュニティにとって実用的な内容となることを目指し、新たに取り組んでいくという。

 また2021年は、OSS脆弱性ワークフローにコミュニティ全体が参加し、信頼できるワークフローにできるよう、Security Labがより直接的に関与していくとしている。

【関連記事】
GitHub Archive Program、21TBにおよぶリポジトリデータの北極圏への保管が完了
freee、「GitHub Enterprise」への移行によってグループ権限管理などを見直し
オープンソース統合監視ソフトウェアの最新版「Zabbix 5.0」を搭載した5製品を発売
東芝デジタルソリューションズ、「GridDB」のSQLインターフェースをオープンソースとして無償公開
約5割が取引先の対策に懸念【IPA テレワークのセキュリティ実態調査】

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/13796 2021/01/05 16:20

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング