produced by Classmethod ˗ˏˋ 技術とビジネスの祭典 ˎˊ˗ Classmethod ODYSSEY 事前登録受付中

GitHub Dependabotのセキュリティアラートが来たので対処してみた

若槻龍太

2022.02.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、CX事業本部 IoT事業部の若槻です。

今回は、GitHub Dependabotのセキュリティアラートが来たので対処してみました。

Dependabotのセキュリティアラートが来ていた

GitHubアカウントでなにか通知が来ていたのでなんだろうと確認すると、私の管理しているRepositoryで脆弱性が見つかったという内容のものでした。通知を開いてみます。

react-amazon-chime-sdkというRepository（以前個人検証用に作成しそのまま放置していたもの）に作成されている2つのファイル対するアラートのようです。yarn.lockの方のアラートを開いてみます。（1つPRが作られているのが見えますが、一旦無視してください）

アラートを発生させたのはDependabotという機能で、url-parseパッケージでHighレベルのアラートが出ているようです。開いてみます。

NPMパッケージurl-parseのバージョン1.5.6以前にユーザー制御キーを介した認証バイパスの脆弱性があるとのことです。

Authorization Bypass Through User-Controlled Key in NPM url-parse prior to 1.5.6.

GitHub Dependabotとは

そもそもDependabotとは何なのか？というところからですが、GitHub Dependabotとは、Repository内の依存関係に含まれている既知の脆弱性を検知して、アラートやPull Requestの自動作成を行ってくれる機能です。

About managing vulnerable dependencies - GitHub Docs

なるほどDependabotはもともとは別サービスだったが、Dependabot Previewを経てDependabotチームはGitHubに参加した後に、正式にGAされた流れなのですね。

Goodbye Dependabot Preview, hello Dependabot! | The GitHub Blog

Dependabot Preview has helped more than 30,000 organizations keep their packages updated with more than seven million pull requests merged since it launched. As a result of that success, the Dependabot team joined GitHub in May 2019 and started building an updated version of Dependabot directly into GitHub. Now, we’re taking the next step, migrating customers from Dependabot Preview and onto the GitHub-native Dependabot.