インナースソースセキュリティアドバイザリが一般提供開始
GitHub は、エンタープライズ顧客向けに内部セキュリティアドバイザリの公開機能を一般提供しました。これにより、企業所有のリポジトリ内での脆弱性情報の管理が可能になります。
GitHub Advanced Security のエンタープライズ顧客は、現在、内部セキュリティアドバイザリを公開できるようになりました。インナースソースアドバイザリは GitHub のオープンソースアドバイザリと同様に機能しますが、その可視性はエンタープライズが所有するリポジトリに限定されます。
インナースソースの脆弱性を管理するための新しい REST API エンドポイントが追加されました。これには、脆弱性の作成、更新、撤回などの操作が含まれます。API を使用してコンポーネントに関するアドバイザリを作成すると、GitHub は Dependabot を介してそのコンポーネントを使用するエンタープライズ内のリポジトリに通知を送信します。通知にはセキュリティアラートやバージョンの更新情報が含まれる場合があります。バージョンアップグレードが必要な場合、Dependabot は脆弱なバージョンを修正されたバージョンへアップグレードするためのプルリクエストを開きます。詳細については、「インナースソースアドバイザリの作成と使用」をご覧ください。
「インナースソースセキュリティアドバイザリが一般提供されました」という投稿は、最初に The GitHub Blog で公開されました。
原文を表示
GitHub Advanced Security enterprise customers can now publish internal security advisories. Innersource advisories work similarly to GitHub’s open source advisories, but their visibility is restricted to repositories owned by the enterprise.
There is a new REST API endpoint to manage innersource vulnerabilities, including operations to create, update, or withdraw vulnerabilities. Once you use the API to create an advisory about a component, GitHub uses Dependabot to notify repositories inside the enterprise that use the component. Notifications can include security alerts and version updates. When a version upgrade is needed, Dependabot will open a pull request to upgrade a vulnerable version of the component to one with a fix. For more information, see Creating and using innersource advisories.
The post Innersource security advisories are generally available appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み