GitHub、脆弱性の報告とやり取り改善する新機能

GitHubはこのほど、「Everything new from GitHub Universe 2022｜The GitHub Blog」において、脆弱性の修正作業を支援する新しいセキュリティ機能を追加したと伝えた。これまでよりもシームレスに脆弱性の報告およびメンテナとのやり取りが可能になるとされている。

新しい機能は、リポジトリの「Security」→「Overview」→「Private vulnerability report」で「Enable vulnerability reporting」→「Enable」で有効化できる。有効にすると「Security」→「Advisories」のページに新しく「Report a vulnerability」というボタンが追加され、秘密裏にメンテナやオーナーに対して脆弱性情報の提供やコミュニケーションが可能になるとされている。

オープンソース・ソフトウェアはソフトウェア開発に欠かすことができないが、最近はオープンソースソフトウェアの脆弱性の発見が遅れており、長期にわたって脆弱性が存在する状態であることが明らかになってきている(参考「オープンソースの脆弱性、発見まで平均800日以上かかると判明 | TECH+（テックプラス）」)。

オープンソース・ソフトウェアに脆弱性を発見しても、責任者に情報を伝える方法がわからないケースも多く、修正へ向けたやり取りが難しいという状況が問題になっている。今回GitHub.comに追加された機能はこうしたコミュニケーションの不備を解決することにつながることが期待されている。本稿執筆時点では、ベータ版と位置づけられているため、今後機能が変更となる可能性もある。