脆弱性を発見するコードスキャン機能がGitHubに統合、セキュリティの問題が次々見つかる：「CodeQL」エンジンがベース

GitHubはコードの脆弱性を簡単に発見できるコードスキャン機能の一般提供を開始した。GitHubの機能に溶け込んでいるため、開発ワークフローの一環としてセキュリティ上の課題を解決しやすい。

[＠IT]

　GitHubは2020年9月30日（米国時間）、コードを本番環境に展開する前にコードの脆弱（ぜいじゃく）性を簡単に発見できるコードスキャン機能の一般提供を開始した。

　GitHubはSemmleの買収で獲得したセマンティックコード解析エンジン「CodeQL」のコード解析機能をGitHubのネイティブ機能として提供することに取り組んできた。今回のコードスキャン機能は、CodeQLの機能をGitHubにネイティブに統合したものだ。2020年5月のβ版リリースを経て、今回正式版の提供を開始した。

　β版では1万2000以上のリポジトリが140万回スキャンされ、リモートコード実行（RCE）やSQLインジェクション、クロスサイトスクリプティング（XSS）といった脆弱性を含む2万以上のセキュリティ問題が見つかった。

　マージ前のプルリクエストで報告があったセキュリティ上の問題の72％を、報告から30日以内に修正できた。業界のデータによると、発見後1カ月以内で修正できたセキュリティ上の問題はこれまで30％未満だという。つまりコードスキャン機能を使うと、セキュリティ上のエラーを従来と比べて大幅に効率良く修正できる。

GitHubのコードスキャン機能（出典：GitHub、クリックで再生）

わざわざコードスキャン機能を実行しなければならないのか