GitHubは、GitHub Actionsのワークフローに存在する脆弱性をDependabotで告知すると発表した。
今回の発表によると、GitHubに実装されているCI/CDツール、GitHub Actionsのワークフローに存在する脆弱性に対して、Dependabotアラートを送信できるようになるという。
これにより、今までよりも簡単にGitHub Actionsワークフローで最新の状態を維持し、セキュリティの脆弱性を修正できるようになるとしている。
なおこのアラートにはGitHub Advisory Databaseが利用されており、GitHub Actionsのワークフローに含まれるセキュリティの脆弱性が報告されると、セキュリティ研究者のチームが脆弱性を文書化し、アドバイザリを作成する。
すると、影響を受けるリポジトリに対してアラートが通知されるという仕組みだ。GitHub Advisory Databaseのすべてのデータと同様に、これらのアドバイザリも検索可能となっており、無料で利用可能だとしている。
【関連記事】
・脆弱性管理クラウド「yamory」、Webアプリケーション/クラウドインフラの診断サービスを開始
・IPA「情報セキュリティ白書2022」を発売開始 トピックは「脆弱性」と「官民セキュリティ動向」など
・SOMPOホールディングスが「Tenable」導入 IT資産の可視化で脆弱性を検出
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア