近日，在GitHub Universe 2019大会上，GitHub宣布推出“安全实验室（Security Lab）“，汇聚安全研究人员查找并修复开源项目中的安全漏洞。

在当今的软件开发中，开源软件扮演着越来越重要的角色，也是软件供应链的重要组成部分。根据Gartner的调查显示，99%的组织在IT系统中使用了开源软件。来自 Sonatype公司的一项调查显示，在参与调查的3000家企业中，每家企业每年平均下载5000个开源软件。

但是，开源软件存在大量的安全隐患，这正是GitHub所担忧的。近年来，开源软件频频曝出高危漏洞，比如Strusts2、OpenSSL等。GitHub官方称，“我们所有人都有共同的责任来确保开源软件的安全，但是我们谁也无法独自做到这一点。”

据悉，GitHub安全实验室的使命是激发和推动全球安全研究社区去保护全球代码。

安全实验室的创始成员来自著名组织机构，包括微软、谷歌、英特尔、摩根大通、甲骨文、优步、Mozilla、F5、VMWare、LinkedIn、NCC集团、HackerOne、Okta、IOActive和Trail of Bits。

此外，其他组织机构和个人安全研究者也可以加入。

截至目前，安全实验室的创始成员已经发现、报告并协助修复开源项目中100多个安全漏洞。

“我们将以身作则，团队成员专注于发现和报告重要开源项目中的安全漏洞。”GitHub表示。

不过，GitHub也承认保护全球的开源软件是一项艰巨任务。首先是规模，仅仅JavaScript生态系统就有超过100万的开源软件包；其次是安全专家的短缺，安全专家和开发者人数比例为1:500；最后是全球的安全专家遍布于数千家公司，协调困难大。

而GitHub设立安全实验室的目的是汇聚人才，让更多的安全专家发现、报告和协助修复安全漏洞。

同时，为使行动更好开展，GitHub实验室还免费提供CodeQL，任何人都可以利用它在开源代码中寻找漏洞。

据了解，CodeQL 是GitHub 最新推出的一款新型开源工具，它是一款语义代码分析引擎，旨在查找大量代码中同一漏洞的不同版本。

除 GitHub 平台外，CodeQL 已经应用于其它平台的漏洞代码扫描活动中，如 Mozilla。

此外，GitHub还设立了奖金最高为3000美元的漏洞奖励计划，用来补偿漏洞猎人在查找开源项目漏洞上投入的时间。

这些仅仅是GitHub 雄心的一部分。为提升GitHub 生态系统的整体安全性，GitHub还推出了四大举措，力图从安全研究者到开发者，构建一套完善的安全体系。

为帮助开发人员快速响应新漏洞，GitHub创建了自动安全更新。

在将提交推送到公共仓库或者将私有仓库转换为公共时，GitHub 会扫描提交或仓库的内容，查找20个不同云服务提供商颁发的令牌。

当 GitHub 检测到匹配项时，它们会通知颁发令牌的服务提供商。服务提供商会采取行动，通常是吊销令牌并通知受影响的用户。GitHub宣布新增4个合作伙伴： GoCardless、HashiCorp、Postman和Tencent。

据悉， GitHub 安全公告数据库用于收集平台上能找到的所有安全公告，更方便所有人追踪在 GitHub 托管项目中找到的安全漏洞问题。

值得一提的是，GitHub成为授权CVE编号发布机构，即它可以为漏洞发布 CVE 编号。

借助“GitHub安全公告”，项目维护者可以和安全专家一起研究安全修复程序，并直接从GitHub上申请CVE编号，并披露有关漏洞的详细信息。一旦他们准备发布安全公告，GitHub将向受影响的项目发送警报。

GitHub 的雄心：推出安全实验室，共同保护全球代码