記事のバージョン: Enterprise Server 2.17
脆弱性のある依存関係に対するセキュリティアラートについて
GitHub Enterprise は、リポジトリに影響を及ぼす脆弱性を検出すると、セキュリティアラートを送信します。
セキュリティの脆弱性について
脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。重大度やプロジェクトの依存関係により異なりますが、脆弱性はプロジェクトあるいはプロジェクトを利用する人々に、幅広い問題を引き起こすことがあります。 GitHub Enterpriseリポジトリ中の依存関係の特定の種類の脆弱性は、追跡して解決できます。
GitHub が、リポジトリの依存関係グラフの依存関係の1つで GitHub Advisory Database または WhiteSource からの脆弱性を検出した場合、セキュリティアラートが送信されます。 GitHub Advisory Databaseに関する詳しい情報については、「GitHub Advisory Databaseにおけるセキュリティ脆弱性をブラウズする」を参照してください。
脆弱性のある依存対象に関するセキュリティアラート
GitHub Advisory Databaseに新しい脆弱性が追加されると、影響を受けるバージョンの依存関係を使用するリポジトリを特定し、セキュリティアラートをリポジトリメンテナに送信します。
各セキュリティアラートには、重要度、およびプロジェクト内で影響を受けるファイルへのリンクが含まれます。 また、脆弱性についての詳細情報が提供されることもあります。
リポジトリの依存関係グラフに、特定のプロジェクトに影響するすべてのアラートが表示されます。
デフォルトでは、影響を受けるリポジトリで管理者権限を持つ人々にセキュリティアラートが送られます。 GitHub Enterprise は、いかなるリポジトリについても特定された脆弱性を公開することはありません。
この機能を使えるようにするには、サイト管理者はGitHub Enterprise Server インスタンスの脆弱性のある依存関係に対するセキュリティアラートを有効化しなければなりません。 詳しい情報については「GitHub Enterprise Serverの脆弱性のある依存関係に関するセキュリティアラートの有効化」を参照してください。
GitHub Enterprise が脆弱性と依存関係を検出できるサポート言語のリストについては、「リポジトリが依存するパッケージのリスト」を参照してください。
メモ: セキュリティアラートのような GitHub Enterprise のセキュリティの機能は、すべての脆弱性を捕捉するものではありません。 弊社は常に脆弱性データベースを更新し、最新の情報でアラートを発するよう努力していますが、すべての問題を捕捉することや、既知の脆弱性について一定の時間内で確実にアラートを発することは不可能です。 これらの機能は、それぞれの依存関係の潜在的な脆弱性やその他の問題に関する人によるレビューを置き換えるものではなく、必要な場合にはセキュリティサービスによるコンサルティングや、総合的な脆弱性レビューを行うことをおすすめします。
セキュリティアラートの通知を設定する
デフォルトでは、セキュリティアラートがメールで送信されます。 セキュリティアラートは、最大10個のリポジトリのアラートをまとめた毎週のメール、Web通知、または GitHub Enterprise ユーザインターフェースで受信するように選択することもできます。 For more information, see "Choosing the delivery method for your notifications ."
参考リンク
- MITREの「脆弱性」の定義