詳細を読む
GitHubは2025年のオープンソースセキュリティ動向と、2026年のGitHub Actionsセキュリティロードマップを公開しました。脆弱性データベースの年次レビューとCI/CD基盤の安全強化策を包括的に示しています。
2025年にGitHubがレビューしたセキュリティ勧告は4,101件で2021年以来の低水準でしたが、これは古い脆弱性の未レビュー分が減少したためです。新規報告に限れば審査数は前年比19%増加しており、脆弱性の報告自体は衰えていません。
npmマルウェア勧告は7,197件に達し前年比69%増となりました。SHA1-Huludなどの大規模キャンペーンが要因です。またGitHubのCNAとしてのCVE公開は2,903件で35%増加し、987の組織がCVEを発行しました。
2026年のActionsロードマップでは、ワークフローの依存関係をコミットSHAでロックする仕組みを3〜6カ月以内にプレビュー提供します。Goのgo.modに相当する決定論的ビルドを実現し、サプライチェーン攻撃のリスクを大幅に低減します。
さらにルールセットに基づくポリシー駆動の実行制御、シークレットのスコープ制限、ランナー向けegressファイアウォールを段階的に導入します。CI/CDを本番環境と同等の重要インフラとして扱い、監視・制御・監査を一体化する方針です。