GitHub Advisory Databaseが過去最高を更新——2026年5月に1,560件のレビュー済みアドバイザリを公開

GitHub Advisory Databaseが前例のない節目を迎えました。2026年5月に公開したレビュー済みアドバイザリは1,560件に達し、通常の月間件数の5倍以上となる、データベース史上最多を記録しました。

2026年3月から5月にかけて、GitHubは月間6,000件超のアドバイザリ判定を3か月連続で維持し、これまでの3か月単位での最高値を上回りました。

プライベート脆弱性レポートの件数は、1月時点の週約550件から5月の大半を通じて週3,000件超へと急増しました。リポジトリアドバイザリも週約650件から週5,000件超へと拡大しています。

GitHub CNAへのCVE申請件数は5月単月で約4,000件に迫り、前年同期比でおよそ10倍に達しました。CVEプログラム全体でも、2026年の公開数はすでに30,000件を超えています。

現在、170万件を超えるリポジトリがプライベート脆弱性レポート機能を有効化しており、これは一時的な現象ではなく、脆弱性の発見・開示のあり方がグローバルに根本から変わりつつあることを示しています。

この急増は、下流への影響として数字にも表れています。4月中旬以降、GitHubは内部の公開目標を安定的に達成できない状態が続いており、処理時間はまず約1週間、その後は相当数のアドバイザリで数週間単位へと延びています。

公開までの期間が長くなれば露出リスクが高まることは、GitHub自身も認めています。ただし、すべてのアドバイザリが同程度の複雑さを持つわけではありません。パッケージ名・バージョン範囲・修正への参照が明確に整った投稿であれば、数分以内に検証を完了できます。

一方で、相当な調査作業を要するアドバイザリの割合も増えています。npmなどのエコシステムPyPI、Mavenにまたがるパッケージの名寄せ、コミット履歴やチェンジログからのバージョン範囲の再構築、CVEレコードとメンテナーアドバイザリ間の矛盾解消などがその例です。

重要なのは、アドバイザリの品質基準が引き下げられていない点です。レビュー済みアドバイザリはすべて引き続き人間による検証を経ており、この急増期間を通じてもCVE割り当ての品質は91〜94%で安定を保っています。

GitHubはスループットの不足に対処するため、いくつかの対策を講じています。チームはAIを活用した調査支援ツールを導入し、日常的な調査作業を効率化しながら、すべての最終判断は人間のキュレーターが行う体制を維持しています。

上流のCVEデータ抽出やコミュニティからの貢献管理については、自動化の強化も図られています。

また、パッケージの利用状況・積極的な悪用の証拠・エコシステムへの影響といったシグナルを組み合わせたリスクベースのレビュー優先順位付けの仕組みも開発中で、最も重要なアドバイザリを優先してユーザーへ届けることを目指しています。

バックエンドのキュレーションシステムも、より高い持続スループットに対応できるよう拡張されています。上流データの品質向上は、エコシステム全体の速度と精度を改善する最も効果的な手段の一つです。

GitHubは公式ブログで、ユーザーに対してレジストリ上の正確なパッケージ名を使用すること、影響を受けるすべてのパッケージを個別のバージョン範囲とともに列挙すること、重大度ラベルだけでなく完全なCVSSベクター文字列を記載すること、下流でのフィルタリングを可能にするためCWE分類を付与することを求めています。

CVE申請は公開を明確に意図した場合にのみ行うべきであり、メンテナーとの緊密な連携によってキュレーションの遅延を悪化させる上流データの矛盾を排除することも重要です。

2年前、このデータベースの月間公開件数は約270件でした。2026年5月には1,500件超を公開しながら、システム全体でさらに数千件の判定処理をこなしました。

責任ある開示を有効化するリポジトリは増え続け、脆弱性を報告する研究者も、協調的な修正を公開するメンテナーも、いずれもかつてない規模へと拡大しています。

今後の課題は、このモメンタムに見合うインフラを拡充しながら、世界中の開発者やセキュリティツールが依拠するデータ品質を犠牲にしないことです。

翻訳元: https://cyberpress.org/github-advisory-database-hits/

ソース: cyberpress.org