GitHubは、セキュリティ修正を含むアップデートが必要な依存関係のためのPRを作成する機能、より良い脆弱性評価のためのWhiteSourceデータとの統合、依存関係インサイトなど、開発者がコードを保護するための新機能を発表した。
GitHubのセキュリティ関連機能は、プロジェクトの依存関係の中で見つかった既知の脆弱性について開発者に警告するために2017年に導入された脆弱性アラートを中心に展開されている。GitHub自身のデータによると、それ以来、2700万を超えるセキュリティアラートが生成されているが、パッチの適用は大抵遅かった。
セキュリティ脆弱性アラートはユーザにプロジェクトを保護するための情報を提供するが、業界のデータによると、30日後にも70%以上の脆弱性が修正されずに残っています。パッチを当てるのに1年もかかることが多いです。
GitHubの数値は他のベンダーの分析とよく合致している。そのベンダーは、オープンソースコミュニティがセキュリティ関連のプラクティスを改善するためのいくつかのアクションポイントを強調してきた。
プロジェクト保守管理者がコードに素早くパッチを適用することをより簡単にするために、GitHubはDependabotと統合した。これは、彼らが買収して自由に利用できるようにしたばかりである。Dependabotは、もともとはGitHub市場で有料サービスとして利用可能であったが、プロジェクトの依存関係からあらゆる脆弱性をスキャンし、それぞれに対してPRを自動的に開くことができる。これにより、保守管理者は単にこれらのPRをマージすることでセキュリティの脆弱性を修正することができる。
さらに、エンタープライズプロジェクトの保守管理者がプロジェクトの依存関係や新しい脆弱性の発覚に迅速に監査できるようにするために、GitHubはDependency Insightsを立ち上げた。依存関係のインサイトでは、GitHubの依存関係グラフを利用して、開いているセキュリティアドバイザリ、プロジェクトの依存関係を一覧表示して検査するなど、開発者にプロジェクトの依存関係ステータスの概要を提供する。
GitHubのもう1つの新機能は、発見された脆弱性に関するより多くのデータを開発者に提供することを目的としたものであり、GitHubセキュリティアラートとオープンソースセキュリティプラットフォームWhiteSourceの統合である。GitHubによると、これによって、現在の潜在的な脆弱性の範囲を広げ、プラットフォームは脆弱性を検出し、そして開発者が優先順位付けし、修正し、報告するのを助けることができる。
最後の注記として、情報を交換したり見つかった脆弱性について話し合ったりする必要があるときにプロジェクトの保守管理者間のコミュニケーションを改善するために、GitHubはメンテナセキュリティアドバイザリと呼ばれるプライベートワークスペースを提供する。そこではハッカーに機密情報を漏らさないようにできる。さらに、プロジェクトに関連付けられたセキュリティポリシーを明示的に設定して、コントリビュータが責任を持って脆弱性を報告するために何をすべきかを知ることができるようになった。