維護網絡環(huán)境從代碼開始

12月9日消息，GitHub 最近推出了 GitHub Security Lab——供安全研究人員和開發(fā)者修復漏洞和共享專業(yè)知識的空間，旨在改善 GitHub 代碼共享生態(tài)系統(tǒng)整體安全性。GitHub 去年被微軟以 56 億英鎊收購，現(xiàn)在是 4，000 萬開發(fā)人員的軟件開發(fā)及代碼庫。但不幸的是，惡意黑客也使用該平臺托管惡意軟件，有時候甚至還存儲被盜數(shù)據(jù)，比如 Capital One 數(shù)據(jù)泄露事件中呈現(xiàn)的那樣。

GitHub Security Lab 將幫助安全團隊識別并報告開源軟件中的漏洞。該安全實驗室旨在令開發(fā)人員更容易使用 GitHub 來修復漏洞和項目。

GitHub 產品管理安全副總裁 Jamie Cool 在安全博客文章中評論道：GitHub Security Lab 的使命是激勵和幫助全球安全研究社區(qū)保護世界代碼安全。我們的團隊將以身作則，投入全時資源查找和報告關鍵開源項目中的漏洞，目前為迄今為止發(fā)現(xiàn)的 100 多個安全漏洞發(fā)布了 CVE。

GitHub Security Lab 嘗試建立跨行業(yè)社區(qū)，目前召集了來自 F5、Google、HackerOne、英特爾、IOActive、摩根大通、LinkedIn、微軟、Mozilla、NCC Group、甲骨文、Trail of Bits、Uber 和 VMWare 等業(yè)界領袖的“專業(yè)技能及時間資源”。

GitHub Security Lab

GitHub 研究踏入開源漏洞領域時，40% 的安全漏洞尚無 CVE 標識，70% 的已發(fā)現(xiàn)問題在開發(fā)者接到告警后 30 天內仍未修復。GitHub Security Lab 想要聯(lián)合開發(fā)人員，確保漏洞在修復負責人員已就位時才披露，以此解決漏洞披露后久未修復的問題。

頗為重要的是，GitHub 在兩個月前成為了 CVE 編號發(fā)布機構，可以在需要的時候發(fā)布 CVE 編號。

作為這項倡議的一部分，GitHub 創(chuàng)建了 Security Advisories（安全咨詢）功能供維護者使用：安全研究人員在私有空間進行安全修復，直接向 GitHub 申請 CVE，指定漏洞的結構化細節(jié)。然后，當他們準備好發(fā)布安全咨詢時，GitHub 就會向受影響項目發(fā)送安全告警。

為使開發(fā)人員具備快速行動的能力，GitHub 將其自動化安全更新功能從測試版帶入基本可用的版本。該功能可以推送漏洞通知，更重要的是，還包含了能夠“將脆弱依賴更新至已修復版本”的拉取請求。

GitHub 還發(fā)布了一款由該安全實驗室運營的令牌掃描應用，能夠 “在提交推送至 GitHub（或存儲庫公開）的數(shù)秒內，對照來自 20 個不同云供應商的令牌格式掃描之。只要檢測到匹配，我們就會通知相應的服務提供商，由他們采取行動，基本上就是撤銷令牌，并且通告受影響的用戶?！?/p>

GitHub 將維護者創(chuàng)建的所有數(shù)據(jù)在 GitHub Advisory Database（咨詢數(shù)據(jù)庫）中免費開放。