GitHub は、既知のサプライチェーン脆弱性の影響を受ける新しい依存関係を導入するリクエストをブロックし、警告を発することができる機能を実装しました。
Dependency Review GitHub Action をプロジェクトの既存のワークフローに追加することで実現できます。これは、リポジトリのActionsタブのSecurityから、またはGitHub Marketplaceから直接行うことができます。
リクエストごとにリポジトリに追加する前に、依存関係の変更のセキュリティへの影響を理解するのに役立つものです。
GitHub Actionは、現在プルリクエストのリッチな差分でしか表示されない脆弱性の発見とブロックを自動化します。
これは、GitHub Advisory Database(オープンソースソフトウェアのセキュリティ上の欠陥を詳述したCVEや勧告のコレクション)に対して依存関係の変更に関するプルリクエストをスキャンし、新しい依存関係が脆弱性をもたらすかどうかを確認することで機能します。
もしそうであれば、アクションはエラーを発生させ、どの依存関係が脆弱性を持っているかを確認し、提供されるコンテキストに基づいたインテリジェンスで修正を実装できるようにします
Dependency Reviewアクションは現在パブリックベータ版で、すべてのパブリックリポジトリとGitHub Advanced Securityのライセンスを取得してGitHub Enterprise Cloudを使用している組織に属するプライベートリポジトリで利用可能です。
Dependency Review の仕組みについては、公式ページで詳細を見ることができます。
Reviewing dependency changes in a pull request - GitHub Docs
If a pull request contains changes to dependencies, you can view a summary of what has changed and whether there are known vulnerabilities in any of the depende...
ghdocs-prod.azurewebsites.net
Comments