GitHubは8月9日(米国時間)、「Dependabot now alerts for vulnerable GitHub Actions|The GitHub Blog」において、開発者のCI/CDワークフローでセキュリティ問題を修正することを助けるために、脆弱なGitHub Actionsに対するDependabotアラートの送信を始めると発表した。これにより、アクションワークフローの脆弱性の修正や最新の状態に保つことが簡単になるとされている。

  • Dependabot now alerts for vulnerable GitHub Actions|The GitHub Blog

    Dependabot now alerts for vulnerable GitHub Actions|The GitHub Blog

このアラートにはGitHub Advisory Databaseが使われている。脆弱性がGitHub Actionsで報告されると、セキュリティ研究チームがその脆弱性を記録するアドバイザリーを作成し、影響を受けるリポジトリにアラートを発する仕組みとなっている。GitHub Advisory Databaseのすべてのデータと同様、これらのアドバイザリーは検索可能で永久に無料で利用できるとのことだ。

すでにDependabotを使用している場合は、追加のアクションは必要ないとのこと。GitHub Actionsとユーザーのコードに影響を与える脆弱性に関するアラートを受け取るには、Code security and analysisタブで"Enable all"を選択して、Dependabotを有効にする必要がある(参考「Configuring Dependabot alerts - GitHub Docs」)。

  • Configuring Dependabot alerts|The GitHub Blog

    Configuring Dependabot alerts|The GitHub Blog

GitHubはこのような改善がGitHubとユーザーのセキュリティに対する姿勢を高めるとしている。また、GitHubのサプライチェーンセキュリティソリューションとGitHub Actions間の接続点を強化し、ビルドのセキュリティを向上させるために投資を続けていくと伝えている。