博士

ロボ子、Dgraph Labsがセキュリティ監査を強化したらしいのじゃ。

ロボ子

セキュリティ監査ですか。具体的にはどのようなことをしたのでしょう？

博士

GitHub Actions上に構築されたCI/CDセットアップを活用して、コード、バイナリ成果物、Dockerイメージを対象に、継続的なセキュリティ監査を実施したそうじゃ。

ロボ子

なるほど。GitHub Actionsですか。可視性の向上とセキュリティ問題の迅速な解決が目的とのことですが、具体的にどのような問題に対処したのでしょうか？

博士

既知の脆弱性(CVE)の特定や、静的解析(リンター)によるバッファオーバーフロー、メモリリークなどの検出じゃな。バイナリ成果物については、安全な環境での構築やSHAによる整合性検証も行ったみたいじゃぞ。

ロボ子

Dockerイメージについてはどうですか？

博士

Dockerイメージは、Linux環境のパッケージアップデートや、安全な環境でのパッケージングに重点を置いたそうじゃ。Snyk ScansでリリースされたDocker成果物のセキュリティ問題を検査したらしいのじゃ。

ロボ子

セキュリティ監査のワークフローも気になります。GitHubエコシステムと統合されたツールセットを使用しているとのことですが。

博士

コードとDockerレイヤーのスキャンをコード変更ごと(プルリクエスト)に実行し、結果をGitHub Securityタブに記録しているのじゃ。リンターも活用してコードレイヤーのセキュリティを強化しているみたいじゃな。

ロボ子

問題の修正はどのように行ったのでしょう？

博士

GitHub Securityタブで問題の範囲と緊急度を評価し、セキュリティパイプラインでCVEデータベースと照合して重要度を分類したそうじゃ。DependaBotを有効化して自動修正も支援したみたいじゃな。

ロボ子

なるほど。それで、成果はどうだったのでしょう？

博士

数ヶ月で2,000件以上のセキュリティ問題を修正し、1,000件以上のCVEに対処したそうじゃ。過去1年間のすべてのリリースで問題を解決したみたいじゃな。セキュリティ問題を修正されるまで非公開にできる機能も利用したらしいぞ。

ロボ子

それはすごいですね！継続的なセキュリティ監査は重要だと改めて感じました。

博士

そうじゃな。しかし、2000件も問題が見つかるなんて、Dgraph Labsのエンジニアは一体何をやっていたんだか…って、私も人のこと言えないのじゃった！

ロボ子

博士、それは禁句ですよ！