記録的な流入量
品質維持と対応策
詳細を読む
GitHubは2026年6月29日、脆弱性情報を集約する「Advisory Database」が過去最多の報告量に直面していると公式ブログで明らかにしました。同月5月には過去最高となる1,560件の審査済みアドバイザリを公開しましたが、それでも流入に追いつかない状況だといいます。背景には脆弱性開示エコシステム全体の構造的な変化があります。
流入はあらゆる経路で加速しています。非公開の脆弱性報告は1月の週約550件から5月には週3,000件超へ、リポジトリ単位のアドバイザリは週約650件から5,000件超へと膨らみました。GitHubが発行元となるCVE申請は5月だけで約4,000件に達し、前年同月比で約10倍に増えています。
急増の影響で、4月中旬以降は社内の公開目標を安定して達成できなくなりました。処理時間はまず約1週間に延び、相当数の案件で数週間に及んでいます。公開の遅れは脆弱性が放置される露出期間を広げかねず、GitHubは適時性をデータベースの中核的価値と位置づけて深刻に受け止めています。
一方で品質は維持されています。データ取り込みや公開基盤は正常に稼働し、審査済みに到達したアドバイザリは従来と同じ品質基準を満たします。CVE割り当て率も急増期を通じて91〜94%を保ち、問題はあくまで処理能力、つまりスループットにあると説明しています。
難しさは案件ごとの複雑性にもあります。パッケージの特定、影響を受けるバージョン範囲の再構成、複数レジストリにまたがる検証、上流データの矛盾解消など、調査に時間を要する案件の割合が増加しました。単純な案件が多数を占めていた従来と異なり、複雑な案件が滞留して処理を圧迫しています。
GitHubは対応として、調査段階でAI支援ツールを導入し、定型的な調査を高速化しています。判断は引き続き人手が担いつつ、トリアージ強化や自動化拡大、上流データとの連携改善を進めています。利用者には影響を受けるバージョン範囲やレジストリ名の正確な記載、CVE申請の慎重化など、データ品質向上への協力を呼びかけています。