【リンク先抜粋】
オクトキャットが好き。 世界最大のソースコードのホスト、GitHub。開発側ではないフツーの人には縁がないサービスでありながら、これがないとフツーの人の世界もきっと回っていないという非常にありがたい存在。そのGitHubに、さらにありがたい機能が追加されました。先週水曜日の発表から、脆弱性を自動検知してくれるコードスキャニング機能が提供スタートしています。 話は一瞬遡り、去年のこと。GitHubを傘下に持つMicrosoftがSemmleという、コード解析エンジンを開発した企業を買収しました。このコード解析エンジン、実はUber、NASA、Googleという名だたる大手のコードのセキュリティ脆弱性を見つけるのに使われていたもの。今回、このSemmleの技術から、GitHubは数ヶ月にわたるベータテストを経て、新機能として本リリースへ。 機能自体は至ってシンプル。GitHubコミュニティから集まった2,000を超えるあるあるクエリを、リアルタイムで自動スキャン。問題が見つかれば、開発者に知らせてくれます。開発者が、新たな脆弱性を発見した場合、本機能のチェック項目に新たなクエリとして追加すること可能。 大きな開発チームはこういうの社内でやっているんでしょうが、GitHubが提供してくれることで、小規模開発チームにとっては大きな手助けとなりますね。GitHubが引用した業界データによれば、脆弱性の約30％はプロジェクトリリースから1ヶ月以内に発見されるそうです。また、GitHubのベータテストでは、コードスキャン機能を使用したユーザーは、報告されたセキュリティエラーのうち72％を発見、事前に修正ができたといいます。 コードスキャン機能、公開リポジトリでの使用は無料。非公開プロジェクトで使用したい場合は、GitHub Enterprise（有料）の登録が必要になります。 Source: GitHub

続きはこちら

(2020/10/05)