オープンソースの世界全体で、ソフトウェアの脆弱性が記録的なペースで報告されており、それを検証するために構築されたシステムはその負荷に耐えきれなくなっています。数百万のプロジェクトに自動セキュリティアラートを提供するGitHub Advisory Databaseでは、新しいアドバイザリの一部が公開まで数週間かかる状況に至っています。
2026年5月、同データベースは審査済みアドバイザリを1,560件公開しました。これは過去最多であり、通常の月間公開数の数倍に相当します。それでも、実際に届いた件数には及びませんでした。

全チャネルで記録的な流入
データベースへの流入はあらゆるソースを通じて増加しています。プライベート脆弱性レポートは、1月には週数百件だったものが、5月の大半を通じて週3,000件以上に達しました。
リポジトリアドバイザリも同様の増加曲線をたどり、ピーク時には週5,000件を超えました。CVE採番機関(CNA)としてのGitHubへのCVEリクエストは、5月だけで約4,000件に上り、1年前の数倍に達しています。
この傾向は1社にとどまりません。グローバルCVEプログラムでは、2026年に入ってからすでに30,000件以上のエントリが公開されています。
プライベート脆弱性レポートは現在、合計170万以上のリポジトリという大規模なベースで運用されています。この流入量を維持するため、GitHubは3月から5月にかけて毎月6,000件以上のアドバイザリ判断(新規アドバイザリ、更新、受信レビューを含む)を処理し続けました。
時間がかかる理由
4月中旬以降、公開ペースが鈍化しています。審査期間はまず約1週間に伸び、その後、相当数のレポートで数週間に及ぶようになりました。待機時間が長くなるほど、既知の脆弱性がパッチ未適用のまま放置される期間も広がります。キュレーションチームを率いるシニアセキュリティマネージャーのMadison Ficorilli氏は、適時性をデータベースの価値の核心と位置付けています。
「すべてのセキュリティアドバイザリが同じレベルの作業を必要とするわけではありません。適切なフォーマットで届いたものは、影響を受けるパッケージとそのエコシステムが明確に記載され、バージョン範囲が文書化されており、修正にタグが付いています。こうしたアドバイザリは、数分以内に検証・公開できます。しかし、より詳しい調査を必要とする受信アドバイザリの割合が増えています」とFicorilli氏は説明しています。
増加傾向にある一部のアドバイザリは、実際の調査を必要とします。パッケージがどのレジストリに属するかの特定、コミット履歴からのバージョン範囲の再構築、あるいはCVEレコード・メンテナーのメモ・コードの間で影響範囲について見解が一致しない場合の解決などが必要になります。
維持される品質
急増の中でも品質は維持されています。公開されたアドバイザリは正確であり、データパイプラインは稼働を続け、審査済みとマークされたものは急増前に設定された同じ基準を満たしています。CVE割り当て率は全期間を通じて91〜94%に保たれており、過去の水準と一致しています。
ボトルネックはスループットにあります。GitHubは、検証をスキップして公開を早めることは「大規模な誤検知を増やすことになる」と述べており、そのリスクと遅延のコストを慎重に比較検討しています。
GitHubの対応策
キュレーションチームはリサーチフェーズの高速化にAIツールを導入しており、最終的な判断はキュレーターが行っています。エンジニアはバックエンドの処理能力を拡張し、質の高い提出物が早く処理されるようトリアージを改善するとともに、上流のCVEレコードからデータを取得する自動化の範囲も拡大しました。今後の計画では、定型的な案件の処理時間の短縮と、積極的な悪用状況やパッケージの普及度といったシグナルに基づく受信レポートの優先順位付けが中心となっています。
研究者にできること
「貢献したいなら、3つのことに集中してください。完全な脆弱性データを提出すること、メンテナーや研究者と緊密に連携すること、そして実際に公開する明確な意図がある場合にのみCVEをリクエストすることです」とFicorilli氏は述べています。
メンテナーと研究者が緊密に連携することで、パッケージ名・バージョン範囲・修正内容がソース間で一致した状態に保たれます。また、CVEリクエストを実際の開示に向かっているケースに限定することで、公開に向けて進行中のアドバイザリにキュレーターの注意を集中させることができます。
2年前、このデータベースが処理するアドバイザリは月約270件でした。それ以来の増加は、オープンな脆弱性開示に向けたより広い動きを反映しており、GitHubはこれに対応するためレビューパイプラインの拡張を続ける予定です。
翻訳元: https://www.helpnetsecurity.com/2026/06/30/github-advisory-database-review/