GitHub推出安全实验室 提升代码共享生态安全

GitHub推出安全实验室 提升代码共享生态安全

黑帽SEO访客2021-10-11 13:42:005452A+A-

GitHub 最近推出了 GitHub Security Lab——供安全研究人员和开发者修复漏洞和共享专业知识的空间,旨在改善 GitHub 代码共享生态系统整体安全性。

GitHub 去年被微软以 56 亿英镑收购,现在是 4,000 万开发人员的软件开发及代码库。但不幸的是,恶意黑客也使用该平台托管恶意软件,有时候甚至还存储被盗数据,比如 Capital One 数据泄露事件中呈现的那样。

GitHub Security Lab 将帮助安全团队识别并报告开源软件中的漏洞。该安全实验室旨在令开发人员更容易使用 GitHub 来修复漏洞和项目。

GitHub 产品管理安全副总裁 Jamie Cool 在安全博客文章中评论道:GitHub Security Lab 的使命是激励和帮助全球安全研究社区保护世界代码安全。我们的团队将以身作则,投入全时资源查找和报告关键开源项目中的漏洞,目前为迄今为止发现的 100 多个安全漏洞发布了 CVE。

图源:GitHub

GitHub Security Lab 尝试建立跨行业社区,目前召集了来自 F5、Google、HackerOne、英特尔、IOActive、摩根大通、LinkedIn、微软、Mozilla、NCC Group、甲骨文、Trail of Bits、Uber 和 VMWare 等业界领袖的“专业技能及时间资源”。

GitHub Security Lab

GitHub 研究踏入开源漏洞领域时,40% 的安全漏洞尚无 CVE 标识,70% 的已发现问题在开发者接到告警后 30 天内仍未修复。GitHub Security Lab 想要联合开发人员,确保漏洞在修复负责人员已就位时才披露,以此解决漏洞披露后久未修复的问题。

颇为重要的是,GitHub 在两个月前成为了 CVE 编号发布机构,可以在需要的时候发布 CVE 编号。

作为这项倡议的一部分,GitHub 创建了 Security Advisories(安全咨询)功能供维护者使用:安全研究人员在私有空间进行安全修复,直接向 GitHub 申请 CVE,指定漏洞的结构化细节。然后,当他们准备好发布安全咨询时,GitHub 就会向受影响项目发送安全告警。

为使开发人员具备快速行动的能力,GitHub 将其自动化安全更新功能从测试版带入基本可用的版本。该功能可以推送漏洞通知,更重要的是,还包含了能够“将脆弱依赖更新至已修复版本”的拉取请求。

图源:GitHub

GitHub 还发布了一款由该安全实验室运营的令牌扫描应用,能够 “在提交推送至 GitHub(或存储库公开)的数秒内,对照来自 20 个不同云供应商的令牌格式扫描之。只要检测到匹配,我们就会通知相应的服务提供商,由他们采取行动,基本上就是撤销令牌,并且通告受影响的用户。”

GitHub 将维护者创建的所有数据在 GitHub Advisory Database(咨询数据库)中免费开放。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 断渊森槿2022-06-01 09:13:11
  • 的那样。GitHub Security Lab 将帮助安全团队识别并报告开源软件中的漏洞。该安全实验室旨在令开发人员更容易使用 GitHub 来修复漏洞和项目。GitHub 产品管理安全副总裁
  • 性许暗喜2022-06-01 07:12:16
  • 集了来自 F5、Google、HackerOne、英特尔、IOActive、摩根大通、LinkedIn、微软、Mozilla、NCC Group、甲骨文、Trail of Bits、Uber 和 VMWare 等业界领袖的“专业技能

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理