脆弱性を発見するコードスキャン機能がGitHubに統合、セキュリティの問題が次々見つかる：「CodeQL」エンジンがベース

GitHubはコードの脆弱性を簡単に発見できるコードスキャン機能の一般提供を開始した。GitHubの機能に溶け込んでいるため、開発ワークフローの一環としてセキュリティ上の課題を解決しやすい。

» 2020年10月13日 17時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　GitHubは2020年9月30日（米国時間）、コードを本番環境に展開する前にコードの脆弱（ぜいじゃく）性を簡単に発見できるコードスキャン機能の一般提供を開始した。

　GitHubはSemmleの買収で獲得したセマンティックコード解析エンジン「CodeQL」のコード解析機能をGitHubのネイティブ機能として提供することに取り組んできた。今回のコードスキャン機能は、CodeQLの機能をGitHubにネイティブに統合したものだ。2020年5月のβ版リリースを経て、今回正式版の提供を開始した。

　β版では1万2000以上のリポジトリが140万回スキャンされ、リモートコード実行（RCE）やSQLインジェクション、クロスサイトスクリプティング（XSS）といった脆弱性を含む2万以上のセキュリティ問題が見つかった。

　マージ前のプルリクエストで報告があったセキュリティ上の問題の72％を、報告から30日以内に修正できた。業界のデータによると、発見後1カ月以内で修正できたセキュリティ上の問題はこれまで30％未満だという。つまりコードスキャン機能を使うと、セキュリティ上のエラーを従来と比べて大幅に効率良く修正できる。

GitHubのコードスキャン機能（出典：GitHub、クリックで再生）

わざわざコードスキャン機能を実行しなければならないのか

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

DDoS攻撃がきっかけ――auカブコム証券がセキュリティの側面からOpsDevを推進できた理由
デジタルサービスの継続的な運用には、セキュリティ対策が欠かせない。「最初からアジャイルで作るのは難しい。既に何らかのシステムを持っているのだから、まずはその運用をどうするかを考えなければならず、OpsがDevよりも先になる」と述べるauカブコム証券の石川陽一氏の事例から、デジタルサービスのDevSecOpsに欠かせない「データ活用」の要点を探る。
狙われるWebアプリケーション、脆弱性対策とWAFに期待できることとは
当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。第1回と第2回ではWebアプリケーションの攻撃対象となる領域と、領域ごとの被害例に加えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスについて簡単に整理した。今回は、Webアプリケーション側で可能な対策について脆弱性への対応とWAFを中心に解説していく。
コンテナ・DevOps時代のセキュア開発を問う――セキュリティバイデザインがもう避けては通れない理由
クラウドやコンテナ、マイクロサービスが主流になりつつある現在、セキュリティバイデザインという考え方をどのように発展させ、適用させていけばいいのだろうか。