GitHub、コードスキャン機能をGAに

 GitHub(米Microsoft傘下)は9月30日、コードスキャン(Code Scanning)機能を一般公開(GA)したことを発表した。買収により取得したCodeQL技術に基づくもので、リポジトリで有効にすることでコードの脆弱性スキャンができる。

 GitHubのコードスキャン機能は2019年に買収したSemmleのコード解析エンジンであるCodeQLを土台とし、デフォルトでアクション可能なセキュリティルールに基づいてのみ動作する。これにより開発者は作業に集中できるとしている。

 5月に「GitHub Satellite」でネイティブに統合された機能としてベータ版を提供、今回のGAにより、パブリックリポジトリで有効化して機能を使うことができる。

 GitHub Actionsまたは自分のCI/CD環境と統合し、2000件以上のCodeQLクエリを使用できる。カスタムクエリを作成することもできる。標準化団体OASISのSARIF(Static Analysis Results Interchange Format)標準の上に構築されており、オープンソースまたは商用のアプリケーションセキュリティテストソリューションへの拡張も可能。外部のスキャンエンジンを統合して、単一のインターフェイス上でセキュリティツールからの結果を見たり、結果をエクスポートすることもできる。

 GitHubによるとベータ期間中に1万2000件以上のリポジトリを140万回以上スキャンし、2万件以上のセキュリティイシューを検出したという。これにはSQLインジェクション、クロスサイトスクリプティング(XSS)、遠隔からコードを実行されるRCEなどの脆弱性が含まれていると報告している。

GitHub
https://github.com