近日,在GitHub Universe 2019大會上,GitHub宣佈推出“安全實驗室(Security Lab)“,匯聚安全研究人員查找並修復開源項目中的安全漏洞。
在當今的軟件開發中,開源軟件扮演着越來越重要的角色,也是軟件供應鏈的重要組成部分。根據Gartner的調查顯示,99%的組織在IT系統中使用了開源軟件。來自 Sonatype公司的一項調查顯示,在參與調查的3000家企業中,每家企業每年平均下載5000個開源軟件。
但是,開源軟件存在大量的安全隱患,這正是GitHub所擔憂的。近年來,開源軟件頻頻曝出高危漏洞,比如Strusts2、OpenSSL等。GitHub官方稱,“我們所有人都有共同的責任來確保開源軟件的安全,但是我們誰也無法獨自做到這一點。”
據悉,GitHub安全實驗室的使命是激發和推動全球安全研究社區去保護全球代碼。
安全實驗室的創始成員來自著名組織機構,包括微軟、谷歌、英特爾、摩根大通、甲骨文、優步、Mozilla、F5、VMWare、LinkedIn、NCC集團、HackerOne、Okta、IOActive和Trail of Bits。
此外,其他組織機構和個人安全研究者也可以加入。
截至目前,安全實驗室的創始成員已經發現、報告並協助修復開源項目中100多個安全漏洞。
“我們將以身作則,團隊成員專注於發現和報告重要開源項目中的安全漏洞。”GitHub表示。
不過,GitHub也承認保護全球的開源軟件是一項艱鉅任務。首先是規模,僅僅JavaScript生態系統就有超過100萬的開源軟件包;其次是安全專家的短缺,安全專家和開發者人數比例爲1:500;最後是全球的安全專家遍佈於數千家公司,協調困難大。
而GitHub設立安全實驗室的目的是匯聚人才,讓更多的安全專家發現、報告和協助修復安全漏洞。
同時,爲使行動更好開展,GitHub實驗室還免費提供CodeQL,任何人都可以利用它在開源代碼中尋找漏洞。
據瞭解,CodeQL 是GitHub 最新推出的一款新型開源工具,它是一款語義代碼分析引擎,旨在查找大量代碼中同一漏洞的不同版本。
除 GitHub 平臺外,CodeQL 已經應用於其它平臺的漏洞代碼掃描活動中,如 Mozilla。
此外,GitHub還設立了獎金最高爲3000美元的漏洞獎勵計劃,用來補償漏洞獵人在查找開源項目漏洞上投入的時間。
這些僅僅是GitHub 雄心的一部分。爲提升GitHub 生態系統的整體安全性,GitHub還推出了四大舉措,力圖從安全研究者到開發者,構建一套完善的安全體系。
1.自動化安全更新
爲幫助開發人員快速響應新漏洞,GitHub創建了自動安全更新。
2.令牌掃描
在將提交推送到公共倉庫或者將私有倉庫轉換爲公共時,GitHub 會掃描提交或倉庫的內容,查找20個不同雲服務提供商頒發的令牌。
當 GitHub 檢測到匹配項時,它們會通知頒發令牌的服務提供商。 服務提供商會採取行動,通常是吊銷令牌並通知受影響的用戶。GitHub宣佈新增4個合作伙伴: GoCardless、HashiCorp、Postman和Tencent。
3.GitHub 安全公告數據庫
據悉, GitHub 安全公告數據庫用於收集平臺上能找到的所有安全公告,更方便所有人追蹤在 GitHub 託管項目中找到的安全漏洞問題。
4.GitHub安全公告
值得一提的是,GitHub成爲授權CVE編號發佈機構,即它可以爲漏洞發佈 CVE 編號。
藉助“GitHub安全公告”,項目維護者可以和安全專家一起研究安全修復程序,並直接從GitHub上申請CVE編號,並披露有關漏洞的詳細信息。一旦他們準備發佈安全公告,GitHub將向受影響的項目發送警報。