GitHub推出安全实验室 提升代码共享生态安全
星期一, 十二月 9, 2019
GitHub 最近推出了 GitHub Security Lab——供安全研究人员和开发者修复漏洞和共享专业知识的空间,旨在改善 GitHub 代码共享生态系统整体安全性。
GitHub 去年被微软以 56 亿英镑收购,现在是 4,000 万开发人员的软件开发及代码库。但不幸的是,恶意黑客也使用该平台托管恶意软件,有时候甚至还存储被盗数据,比如 Capital One 数据泄露事件中呈现的那样。
GitHub Security Lab 将帮助安全团队识别并报告开源软件中的漏洞。该安全实验室旨在令开发人员更容易使用 GitHub 来修复漏洞和项目。
GitHub 产品管理安全副总裁 Jamie Cool 在安全博客文章中评论道:GitHub Security Lab 的使命是激励和帮助全球安全研究社区保护世界代码安全。我们的团队将以身作则,投入全时资源查找和报告关键开源项目中的漏洞,目前为迄今为止发现的 100 多个安全漏洞发布了 CVE。
图源:GitHub
GitHub Security Lab 尝试建立跨行业社区,目前召集了来自 F5、Google、HackerOne、英特尔、IOActive、摩根大通、LinkedIn、微软、Mozilla、NCC Group、甲骨文、Trail of Bits、Uber 和 VMWare 等业界领袖的“专业技能及时间资源”。
GitHub 研究踏入开源漏洞领域时,40% 的安全漏洞尚无 CVE 标识,70% 的已发现问题在开发者接到告警后 30 天内仍未修复。GitHub Security Lab 想要联合开发人员,确保漏洞在修复负责人员已就位时才披露,以此解决漏洞披露后久未修复的问题。
颇为重要的是,GitHub 在两个月前成为了 CVE 编号发布机构,可以在需要的时候发布 CVE 编号。
作为这项倡议的一部分,GitHub 创建了 Security Advisories(安全咨询)功能供维护者使用:安全研究人员在私有空间进行安全修复,直接向 GitHub 申请 CVE,指定漏洞的结构化细节。然后,当他们准备好发布安全咨询时,GitHub 就会向受影响项目发送安全告警。
为使开发人员具备快速行动的能力,GitHub 将其自动化安全更新功能从测试版带入基本可用的版本。该功能可以推送漏洞通知,更重要的是,还包含了能够“将脆弱依赖更新至已修复版本”的拉取请求。
图源:GitHub
GitHub 还发布了一款由该安全实验室运营的令牌扫描应用,能够 “在提交推送至 GitHub(或存储库公开)的数秒内,对照来自 20 个不同云供应商的令牌格式扫描之。只要检测到匹配,我们就会通知相应的服务提供商,由他们采取行动,基本上就是撤销令牌,并且通告受影响的用户。”
GitHub 将维护者创建的所有数据在 GitHub Advisory Database(咨询数据库)中免费开放。
GitHub 安全博客文章:
Announcing GitHub Security Lab: securing the world’s code, together
GitHub 咨询数据库:
相关阅读