オープンソースプロジェクトおよびビジネスユースを含む、ソフトウェアの開発プラットフォームを提供するGitHub, Inc.（本社：米国サンフランシスコ）は、8月9日（米国時間）に、GitHub Actionsのワークフローに存在する脆弱性をDependabotで告知すると発表しました。
ソフトウェア開発チームが、さらに多くのソースコードを開発し、迅速にリリースするためには、開発環境上に構築された安全なCI/CDワークフローは非常に重要な要素です。

このたび、GitHubに実装されているCI/CDツール、GitHub Actionsのワークフローに存在する脆弱性に対して、Dependabotアラートを送信できるようになりました。これにより、今までよりも簡単に、GitHub Actionsワークフローで最新の状態を維持し、セキュリティの脆弱性を修正できるようになります。このアラートには、GitHub Advisory Database（https://github.com/advisories）が利用されています。GitHub Actionsのワークフローに含まれるセキュリティの脆弱性が報告されると、セキュリティ研究者のチームが脆弱性を文書化し、アドバイザリを作成します。これにより、影響を受けるリポジトリに対して、アラートが通知されます。GitHub Advisory Databaseのすべてのデータと同様に、これらのアドバイザリも検索可能で、永久に無料で利用可能です。

GitHub Actionsに対するDependabotアラート

影響を受けるGitHubリポジトリへのDependabotアラートは、GitHub Advisory Databaseを利用して実施されます。Dependabotを既にお使いの場合は、設定変更などは不要で利用できます。ソースコードに影響を及ぼすGitHub Actionsと脆弱性に対するアラートを受け取るには、[Code security and analysis (コードのセキュリティと分析)]タブで、[Enable all (すべて有効化)]を選択し、Dependabot（https://docs.github.com/ja/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts#managing-dependabot-alerts-for-your-personal-account）を有効に設定してください。


GitHub Actionに対するアドバイザリの報告

GitHub Actionのオーナーとして脆弱性を発見した際は、リポジトリの[Security (セキュリティ)]タブからアドバイザリの作成（https://docs.github.com/ja/code-security/repository-security-advisories/creating-a-repository-security-advisory）プロセスを開始できます。GitHub Actionエコシステム内でリポジトリアドバイザリが作成され、タグ付けされると、GitHubのキュレーションチームがリポジトリアドバイザリを確認し、誤りが無ければグローバルアドバイザリを作成します。

シームレスな開示プロセスにするために、GitHub Actionアドバイザリの作成時に以下の点を順守してください。

GitHub Actionsについて

GitHubリポジトリで最も使用されているCI/CDツールのGitHub Actions（https://docs.github.com/ja/actions）は、あらゆる規模のチームが開発の迅速化と、ソフトウェアの信頼性向上を実現させます。再利用可能なワークフローとGitHub Actionsポリシー(組織または企業で使用できるアクションの制限（https://docs.github.com/ja/enterprise-cloud@latest/admin/policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-github-actions-in-your-enterprise#enforcing-a-policy-to-restrict-the-use-of-github-actions-in-your-enterprise）など)を組み合わせて使用することで取り組みの範囲を拡大し、企業ならびに組織全体でより安全なコードベースを維持することを可能にします。
既に作成済みの13,000個以上のActions（https://github.com/marketplace?type=actions）を選択し利用ができるため、誰でもGitHub Actionを使用して開発プロセスを改善できます。 GitHubサプライチェーンのセキュリティソリューションについて

GitHub Advisory Databaseによって公開されるセキュリティアドバイザリは、DependabotアラートやDependabotセキュリティアップデートといったGitHubサプライチェーンのセキュリティ機能の基盤となります。データはCreative Commonsライセンスによってライセンス供与されます。コミュニティはデータベース開始以降のすべてのデータを永久に無料で利用することができます。

サプライチェーンのセキュリティ機能（https://docs.github.com/ja/code-security/supply-chain-security/managing-vulnerabilities-in-your-projects-dependencies/editing-security-advisories-in-the-github-advisory-database）の詳細については、以下のページをご確認ください。