近日,在GitHub Universe 2019大会上,GitHub宣布推出“安全实验室(Security Lab)“,汇聚安全研究人员查找并修复开源项目中的安全漏洞。
在当今的软件开发中,开源软件扮演着越来越重要的角色,也是软件供应链的重要组成部分。根据Gartner的调查显示,99%的组织在IT系统中使用了开源软件。来自 Sonatype公司的一项调查显示,在参与调查的3000家企业中,每家企业每年平均下载5000个开源软件。
但是,开源软件存在大量的安全隐患,这正是GitHub所担忧的。近年来,开源软件频频曝出高危漏洞,比如Strusts2、OpenSSL等。GitHub官方称,“我们所有人都有共同的责任来确保开源软件的安全,但是我们谁也无法独自做到这一点。”
据悉,GitHub安全实验室的使命是激发和推动全球安全研究社区去保护全球代码。
安全实验室的创始成员来自著名组织机构,包括微软、谷歌、英特尔、摩根大通、甲骨文、优步、Mozilla、F5、VMWare、LinkedIn、NCC集团、HackerOne、Okta、IOActive和Trail of Bits。
此外,其他组织机构和个人安全研究者也可以加入。
截至目前,安全实验室的创始成员已经发现、报告并协助修复开源项目中100多个安全漏洞。
“我们将以身作则,团队成员专注于发现和报告重要开源项目中的安全漏洞。”GitHub表示。
不过,GitHub也承认保护全球的开源软件是一项艰巨任务。首先是规模,仅仅JavaScript生态系统就有超过100万的开源软件包;其次是安全专家的短缺,安全专家和开发者人数比例为1:500;最后是全球的安全专家遍布于数千家公司,协调困难大。
而GitHub设立安全实验室的目的是汇聚人才,让更多的安全专家发现、报告和协助修复安全漏洞。
同时,为使行动更好开展,GitHub实验室还免费提供CodeQL,任何人都可以利用它在开源代码中寻找漏洞。
据了解,CodeQL 是GitHub 最新推出的一款新型开源工具,它是一款语义代码分析引擎,旨在查找大量代码中同一漏洞的不同版本。
除 GitHub 平台外,CodeQL 已经应用于其它平台的漏洞代码扫描活动中,如 Mozilla。
此外,GitHub还设立了奖金最高为3000美元的漏洞奖励计划,用来补偿漏洞猎人在查找开源项目漏洞上投入的时间。
这些仅仅是GitHub 雄心的一部分。为提升GitHub 生态系统的整体安全性,GitHub还推出了四大举措,力图从安全研究者到开发者,构建一套完善的安全体系。
1.自动化安全更新
为帮助开发人员快速响应新漏洞,GitHub创建了自动安全更新。
2.令牌扫描
在将提交推送到公共仓库或者将私有仓库转换为公共时,GitHub 会扫描提交或仓库的内容,查找20个不同云服务提供商颁发的令牌。
当 GitHub 检测到匹配项时,它们会通知颁发令牌的服务提供商。 服务提供商会采取行动,通常是吊销令牌并通知受影响的用户。GitHub宣布新增4个合作伙伴: GoCardless、HashiCorp、Postman和Tencent。
3.GitHub 安全公告数据库
据悉, GitHub 安全公告数据库用于收集平台上能找到的所有安全公告,更方便所有人追踪在 GitHub 托管项目中找到的安全漏洞问题。
4.GitHub安全公告
值得一提的是,GitHub成为授权CVE编号发布机构,即它可以为漏洞发布 CVE 编号。
借助“GitHub安全公告”,项目维护者可以和安全专家一起研究安全修复程序,并直接从GitHub上申请CVE编号,并披露有关漏洞的详细信息。一旦他们准备发布安全公告,GitHub将向受影响的项目发送警报。