Githubは11月16日(米国時間)、脆弱性を見つけてユーザーに通知する機能の運用を開始したと伝えた。脆弱性の通知と合わせて、GitHubコミュニティからの修正提案なども表示されるという。
GitHubは先月、GitHubのInsightsタブに対してリポジトリの依存関係やサブ依存関係をトラッキングして表示する「Dependency Graph(依存グラフ)」機能をロールアウトした。今回、提供が開始されたセキュリティ機能はこの依存グラフの機能を拡張する内容になっており、パブリックリポジトリでは自動的に有効になるとされている。今のところ、この機能が対応しているのはJavaScriptプロジェクトとRubyプロジェクトのみ。
GitHubは脆弱性データのソースとしてはNVD(National Vulnerability Database)を使用。JavaScriptとRubyのほか、2018年にはPythonに対応する予定になっている。GitHubは世界中で最も広く使われているプロジェクトホスティングサービスであり、セキュリティ機能が強化されることは多くのユーザーにとって有益だと考えられる。