イベントレポート

GitHub SponsorsはOSSへの新しいコントリビュートの形――GitHub Satelliteでの発表を日本向けに解説

GitHub Satellite Berlinでの発表についての記者発表会レポート

2019/07/01 11:00

　5月23日、GitHubやソフトウェア開発の最新情報を共有するためのカンファレンス「GitHub Satellite」がドイツのベルリンで開催され、いくつかの新機能・新サービスが発表された。そのGitHub Satellite Berlinに登壇したGitHubのデヴォン・ツェーゲル氏が来日し、日本向けに記者発表会を実施。新サービス「GitHub Sponsors」をはじめ、セキュリティやエンタープライズ版の新しい機能についても、詳しい説明がなされた。また、発表会終了後にツェーゲル氏にインタビューも敢行した。

3つのカテゴリで新機能・サービスを発表

　GitHubは、業界のエキスパートがGitHubおよびソフトウェア開発の最新情報を共有するカンファレンス「GitHub Satellite」を、毎年各都市で開催している。これは毎年秋にサンフランシスコで行われる最大規模のカンファレンス「GitHub Universe」の延長上にあるイベントだ。今年はベルリンで開催され、好評のまま幕を閉じた。

　今回、日本向けの説明会でGitHub カントリー・マネージャーの公家尊裕氏は「昨年度は日本で開催し、Microsoftによる買収が発表されたあと、承認の前という微妙な時期での開催で、お答えできない部分もあったが、今回のベルリンではクリアな状態になり、今後のテクニカルな方向性について、新しい発表がたくさんできました」と話した。

GitHub カントリーマネージャー公家氏 — GitHub カントリーマネージャー公家尊裕氏

　GitHub Satellite Berlinで発表されたのは「セキュリティ」「エンタープライズ」「コミュニティ」の3つにまつわる新機能や新サービス。現地で基調講演にも登壇した、GitHub オープンソースエコノミー担当プロダクトマネージャーデヴォン・ツェーゲル氏が来日し、その詳細を解説した。

セキュリティ強化のための新機能を多角的に提供

　「オープンソースは、世界中全てのソフトウェアプロジェクトの根幹です。開発者が書いたコードは、その他の何千ものオープンソースのコードの上に成り立っています」と、オープンソースコミュニティの考え方について触れたツェーゲル氏。

　見ず知らずの人が協力してすばらしいプロダクトを作れるのがオープンソースの魅力だが、一方でソフトウェアは安全なものでなければならず、コラボレートする開発者同士の信頼性が重要だ。そのためには「セキュリティが必要不可欠」とツェーゲル氏は語る。

　まずは、セキュリティに関する新機能のリリースから説明した。

セキュリティ脆弱性アラートにおいてWhiteSource社とパートナーシップ締結

　2017年11月にリリースしたセキュリティ脆弱性アラートは、依存関係を脆弱性データと比較しながら確認し、検知されたら自動的に開発者にアラートを送る仕組みだ。直近の12カ月において、世界中の開発者に2700万のアラートを送っている。この機能はGitHub Enterprise、GitHub.comどちらでも利用できる。

　今回、脆弱性データのリーダー的存在であるWhiteSource社とのパートナーシップを結んだことで、40万にのぼる脆弱性コンポーネントを含む、豊富な脆弱性データにアクセスできるようになった。

ディペンデンシー・インサイト

　「アラートを出すだけでなく、開発者やセキュリティのチームが、社内のエコシステムにおける現況をつかむサポートもしていきたい」と話すツェーゲル氏。

　新機能ディペンデンシー・インサイトでは、全ての依存関係を可視化し、インポートされたオープンソースの関係性や、ライセンスを見ることができる。これは「セキュリティやコンプライアンスのチームにとっても有効」とツェーゲル氏は語る。

セキュリティ・ポリシー

　セキュリティの問題が発覚すると、セキュリティ・ポリシーをリリースしていくのが通例だ。各企業にセキュリティの専任チームはあっても、個別のオープンソースのプロジェクトごとに対応するのは容易ではない。

　そこでGitHubは、こういったセキュリティ・ポリシーの作成を容易にする機能を開発した。メンテナーが1つのセキュリティ・ポリシーを作成すると、オーガナイゼーションの配下にある全てのリポジトリに反映できるツールになっている。

メンテナー用セキュリティ・アドバイザリー

　また、新機能メンテナー用セキュリティ・アドバイザリーを使用すれば、非公開で問題を議論、修正し、セキュリティアドバイザリーを発表できる。完全にプライベートな、関係者のみが見られる環境が整っているので、安心して議論できる仕組みになっている。

　さらに、1カ月経過してもパッチが当てられない脆弱性が70%にものぼるというデータがあるように、どうやって迅速にパッチを当てるのかというのは非常に重要な問題だ。

　GitHub Satelliteで、GitHubは、依存関係のアップデートを自動化するサービスを提供するDependabot社を買収したと発表した。この仕組みをGitHubに統合したことによって、依存関係を常時監視し、更新が必要であればPull Requestを自動的に作成、提供できるようになった（参考）。

　まとめとしてツェーゲル氏は、「GitHubは、連携したコミュニティの力を最大限に活用した中で、より安全な、ユーザーから信頼されるアプリケーションを構築するサポートをしていきたい。それを可能にするツールを開発者に提供していきます」と、今後もセキュリティ強化のサポートをしていく姿勢を語った。

会員登録無料すると、続きをお読みいただけます

新規会員登録無料のご案内

・全ての過去記事が閲覧できます
・会員限定メルマガを受信できます

メールバックナンバー

新規会員登録無料

次のページ
GitHub Enterpriseの機能拡張も進む

関連リンク: GitHub

GitHub Satellite

GitHub Sponsors

この記事は参考になりましたか？

印刷用を表示

イベントレポート連載記事一覧: AWSコストを大幅に削減する秘訣は覚悟と根性!? Elephant in the Room...

ものづくりをソフトウェアの力でより良く！トヨタ自動車と42 Tokyoが共同で自動運転ミニ...

Pythonの独学を支える教科書づくりの裏側、京都大学の喜多教授が授業に込めた思いとは？

もっと読む

この記事の著者: 岡田果子（編集部）（オカダカコ）

2017年7月よりCodeZine編集部所属。慶応義塾大学文学部英米文学専攻卒。前職は書籍編集で、趣味・実用書を中心にスポーツや医療関連の書籍を多く担当した。JavaScript勉強中。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事