2020年2月、GitHubがセキュリティに関する問題報告の受付けを開始してから6周年を迎えました。2019年のハイライトと、2020年のこれからの展望をお知らせします。

オープンソースソフトウェアの安全性を維持することは、私たち全員の共同責任であり、単独で達成できることではありません。本日、GitHub Universe 2019において、GitHub Security Labを発表しました。「オープンソースのセキュリティはすべての人にとって重要である」という、私たちと同じ信念をもつセキュリティ研究者、メンテナー、企業のすべてが業界全体で連携する取り組みです。

GitHubは先日Semmelを買収したことを発表しました。脆弱性を発見するには、通常、侵入テストを実行するか、手作業でソースコードを検査します。Semmleは、コードをデータとして扱うことでセキュリティ研究者の作業範囲を拡大します。QLという名前のコード解析エンジンは、コンパイラ最適化における最新調査と、データベース実装における洞察を組み合わせて使用します。コードに内在する複雑なデータ構造を把握し、研究者が宣言型でオブジェクト指向のクエリ言語を使用して解析を利用できるようにします。

リレーショナルデータベースにおいてデータに関する非常に高度な問い合わせが簡略化されるのと同じように、Semmleでは、研究者は大規模なコードベースに含まれるセキュリティ脆弱性を非常に簡単かつ迅速に特定することができます。多くの脆弱性には、その根本的な原因と同じタイプのコーディングミスが存在しています。Semmleを利用することで、コーディングミスのバリエーションをすべて見つけることができるため、同様な脆弱性を除去できます。Semmleはこのアプローチを取ることで多くの問題を飛躍的に少ない誤検出で見つけることができます。

米国時間2019年9月18日、GitHubはSemmleを買収したことを発表しました。これは、オープンソースサプライチェーンの保護における大きな一歩になります。Semmleの革新的なセマンティックコード解析エンジンを使用することで、大規模コードベースに含まれるコードのパターンを特定し、脆弱性とその亜種を検索するクエリを作成できます。