ある日GitHubから次のメールが届きました。
CVEは脆弱性を調べるために使えるユニークな番号です。このメールはあなたのリポジトリのコードで使っているライブラリsymfony/http-foundationのバージョン>= 4.4.0 < 4.4.4 には脆弱性があるからアップデートしろ、と通知してくれているメールです。幸いsymfonyの一部だけあってメンテがされており composer update で脆弱性はふさがれました。バージョンアップで脆弱性をふさいだ後はバージョン違いによって動作が破壊されてないことを確認する必要がありますがそれが済めばソースコードは安全で機能を損なっていないものになります(運用中の実環境の被害も確認すべきですがこの記事ではパスです。確認に値する脆弱性か、そもそも攻撃されたか、攻撃されたならば被害はどの程度か......と色々する必要があります)。
バージョン管理についてのちょっとした警告ですが案外重要です。GitHubはその性質上、様々なソースコードがアップロードされます。その中では当然セキュリティに関するものがアップロードされることもあります。GitHub上ではそういった危ういコードを見つけようと攻撃側、防御側のどちらもが各リポジトリのコードを検査しています。次の読み物は攻撃も防御も盛んであることを示す一例の面白い記事です。
GitHub に AWS キーペアを上げると抜かれるってほんと???試してみよー! – Qiita
AWSの様な従量課金のキー程危険に直結していないにせよバージョン管理の穴を探せばゼロデイアタックの標的を見つけられます。重大な脆弱性ならばシャレにならない被害が出ることもあります。通知が来たらすぐに対応しましょう。
