OSSのセキュリティをどう改善できるか、GitHubが他社と進める取り組みとは：GitHub Universe 2019（1）（2/2 ページ）

[三木泉，＠IT]

　GitHub Advisory Databaseも、GitHubから直接活用できる。GitHubが今回一般提供開始を発表した開発プロセス自動化ツール「GitHub Actions」を併用することで、開発者に大きな負担をかけることなく、開発したコードをほぼワンボタンで同データベースと照合でき、そのコードが依存するOSS、そのOSSが依存するOSS、といった依存関係を確認できる。また、この依存関係においてセキュリティ脆弱性が存在する場合、該当するソフトウェアのセキュリティアップデートを、ほぼワンクリックで実行できるという。

現代のソフトウェアには、階層的な依存関係がある

　クール氏は、「ソフトウェア製品やサービスを開発するチームの多くは、どのOSSにどう依存しているかすら分かっていない。依存するOSSにおいてセキュリティアップデートが行われても、これを適用していないために発生するセキュリティインシデントも多い」と説明する。CodeQLとGitHub Advisory Databaseでは、こうした状況の改善を意図しているという。

Mozilla、Google、LinkedInなど、多様な企業がOSSセキュリティに協力

　今回のOSSセキュリティに関する取り組みは、GitHub、あるいはGitHub Security Labのみが進めるものではない。発足時点でF5、Google、HackerOne、IOActive、J.P. Morgan、LinkedIn、Microsoft、Mozilla、NCC Group、Oracle、Trail of Bits、Uber、VMwareの協力を取り付けているという。

　GitHubは、さらに多くの組織や個人による協力を募っている。

　これらの協力組織は、それぞれのやり方で、OSSセキュリティを向上するための活動を進める。例えばGoogleは、「ClusterFuzz」というファジングツール（バグや未知の脆弱性を検出するセキュリティテストツール）を持っており、これを活用したサービスを提供する。また、HackerOneは良心的ハッカーを組織している企業で、同社はOSSを対象としたさまざまなハッキングコンテストを企画していくという。

　サードパーティーのセキュリティツールであっても、前述のGitHub Actionsを通じて統合することにより、メンテナーや開発者のワークフローの中で、対応が容易にできるようになるという。

　今回のGitHub Security LabによるOSSセキュリティへの取り組みでは、GitHubが事実上OSSをホストする最大のプラットフォームとなっていることを生かしている。また、開発ワークフローの一部に組み込めるようにすることで、対策の負担をできるだけ軽くすることに力を入れているという。

（取材協力：GitHub）