OSSのセキュリティをどう改善できるか、GitHubが他社と進める取り組みとは：GitHub Universe 2019（1）（1/2 ページ）

[三木泉，＠IT]

　GitHubは2019年11月14日（米国時間）、「GitHub Security Lab」を設立し、この組織が他の組織と共に、オープンソースソフトウェア（OSS）のセキュリティ確保を支援する活動を始めたことを発表した。この取り組みにはMozilla、Uber、LinkedIn、Google，Microsoftをはじめとした組織・企業が参加している。

　以下では、この取り組みについて紹介する。

「OSSの利用が広がっているが、セキュリティは置き去りに」

　GitHubのセキュリティ担当プロダクトマネージャー、ジェイミー・クール（Jamie Cool）氏によると、今回の取り組みはGitHubが従来力を入れてきたOSS支援の延長線上にある。製品やサービスの開発におけるOSSの活用が急速に広がっている。それにもかかわらず、OSSコードのセキュリティは後手に回っているのが現状で、OSSのメンテナーにはセキュリティを確保するための時間、資金、意識が十分ではないケースが多い。このままでは、OSSに依存するソフトウェアの多くが、セキュリティ的に弱体化するという、負の循環に陥りかねない。こうしたことから、GitHubとしてはセキュリティ確保のための支援を新たな注力ポイントとして選び、GitHub Security Labを通じた活動を開始したという。

OSSのセキュリティ確保には、セキュリティ研究者、OSSメンテナー、開発者それぞれが助けを必要としているという

　GitHub Security Labは、セキュリティ製品ベンダーのラボに似た組織。GitHub社内で、セキュリティ脆弱性の発見や関連情報の収集、社内外の組織との連携などを行う。ビジネス的な責任は負っていない。

　GitHubは、2019年9月にSemmleという企業を買収した。この企業のスタッフが母体となり、GitHubでセキュリティに関わってきた社員などが加わって生まれたのがGitHub Security Labだという。

　クール氏によると、GitHubがSemmleを買収した理由は2つ。後述する「CodeQL」というユニークなセキュリティ製品を開発・提供してきたこと、そしてユーザーやセキュリティ研究者によるコミュニティーを組織し、相互協力を通じてセキュリティ上の問題に対処する活動を推進してきたことだという。

　今回GitHub Security Labが発表したOSSセキュリティ強化への取り組みには、この2つが共に生かされている。

　まず、GitHub Security Labは、CodeQLをOSSメンテナーや教育・研究関係者に対し、無償で提供することを発表した。

　CodeQLはソフトウェアのセキュリティ脆弱性発見ツール。ソースコードを一般的なデータと同じように扱って検索し、脆弱性につながる記述を見つけ出し、これによって未知の脆弱性にも対処できるというもの。既知の脆弱性を検索するが、派生的な、類似する記述も見いだせる点がポイント。このために未知の脆弱性まで探し出すことが可能という。

　セキュリティ製品にはさまざまなものがあるが、CodeQLはセキュアコーディングの実行に焦点を当てたツールといえる。もちろん、このツールを開発済みのソースコードに適用し、脆弱性の有無をチェックすることができる。従って、CodeQLはOSSのメンテナー自身が使うことができる他、OSSではソースコードが公開されていることを活用し、外部のセキュリティ研究者がチェックを行うこともできる。GitHub Security Labも、このツールを活用した重要OSSの脆弱性発見の取り組みを継続していくという。

　CodeQLはGitHubとの高度な統合も大きな特徴となっていて、脆弱性の報告から対応までの関係者による共同作業が円滑化できるという。具体的には、報告を受けて外部に公開することなくプライベートなフォークとしてOSSにおける対応を実施、これを関係者が確認し、OKとなれば本体にワンクリックでマージを実施、その後に情報公開を行う流れがある程度自動化される。

　関連して、GitHub Security Labでは「GitHub Advisory Database」を発表した。これは既知の脆弱性を集めたCVEデータベースの内容に、GitHub Security Labの収集した情報を加えたもの。OSSプロジェクトはこれを、無償で活用することができる。