阿里、微众、PingCAP专家分享如何解决可观测性带来的埋点成本上升、观测数据割裂等挑战。戳 了解详情
写点什么

GitHub 的雄心:推出安全实验室,共同保护全球代码

  • 2019 年 11 月 18 日
  • 本文字数:1359 字

    阅读完需:约 4 分钟

GitHub的雄心:推出安全实验室,共同保护全球代码

近日,在 GitHub Universe 2019 大会上,GitHub 宣布推出“安全实验室(Security Lab)“,汇聚安全研究人员查找并修复开源项目中的安全漏洞。



在当今的软件开发中,开源软件扮演着越来越重要的角色,也是软件供应链的重要组成部分。根据 Gartner 的调查显示,99%的组织在 IT 系统中使用了开源软件。来自 Sonatype 公司的一项调查显示,在参与调查的 3000 家企业中,每家企业每年平均下载 5000 个开源软件。


但是,开源软件存在大量的安全隐患,这正是 GitHub 所担忧的。近年来,开源软件频频曝出高危漏洞,比如 Strusts2、OpenSSL 等。GitHub 官方称,“我们所有人都有共同的责任来确保开源软件的安全,但是我们谁也无法独自做到这一点。”



据悉,GitHub 安全实验室的使命是激发和推动全球安全研究社区去保护全球代码。


安全实验室的创始成员来自著名组织机构,包括微软、谷歌、英特尔、摩根大通、甲骨文、优步、Mozilla、F5、VMWare、LinkedIn、NCC 集团、HackerOne、Okta、IOActive 和 Trail of Bits。


此外,其他组织机构和个人安全研究者也可以加入。


截至目前,安全实验室的创始成员已经发现、报告并协助修复开源项目中 100 多个安全漏洞。



“我们将以身作则,团队成员专注于发现和报告重要开源项目中的安全漏洞。”GitHub 表示。


不过,GitHub 也承认保护全球的开源软件是一项艰巨任务。首先是规模,仅仅 JavaScript 生态系统就有超过 100 万的开源软件包;其次是安全专家的短缺,安全专家和开发者人数比例为 1:500;最后是全球的安全专家遍布于数千家公司,协调困难大。


而 GitHub 设立安全实验室的目的是汇聚人才,让更多的安全专家发现、报告和协助修复安全漏洞。


同时,为使行动更好开展,GitHub 实验室还免费提供CodeQL,任何人都可以利用它在开源代码中寻找漏洞。


据了解,CodeQL 是 GitHub 最新推出的一款新型开源工具,它是一款语义代码分析引擎,旨在查找大量代码中同一漏洞的不同版本。



除 GitHub 平台外,CodeQL 已经应用于其它平台的漏洞代码扫描活动中,如 Mozilla。


此外,GitHub 还设立了奖金最高为 3000 美元的漏洞奖励计划,用来补偿漏洞猎人在查找开源项目漏洞上投入的时间。


这些仅仅是 GitHub 雄心的一部分。为提升 GitHub 生态系统的整体安全性,GitHub 还推出了四大举措,力图从安全研究者到开发者,构建一套完善的安全体系。


1.自动化安全更新

为帮助开发人员快速响应新漏洞,GitHub 创建了自动安全更新。


2.令牌扫描

在将提交推送到公共仓库或者将私有仓库转换为公共时,GitHub 会扫描提交或仓库的内容,查找20个不同云服务提供商颁发的令牌。


当 GitHub 检测到匹配项时,它们会通知颁发令牌的服务提供商。 服务提供商会采取行动,通常是吊销令牌并通知受影响的用户。GitHub 宣布新增 4 个合作伙伴: GoCardless、HashiCorp、Postman 和 Tencent。


3.GitHub 安全公告数据库


据悉, GitHub 安全公告数据库用于收集平台上能找到的所有安全公告,更方便所有人追踪在 GitHub 托管项目中找到的安全漏洞问题。


4.GitHub 安全公告

值得一提的是,GitHub 成为授权 CVE 编号发布机构,即它可以为漏洞发布 CVE 编号。


借助“GitHub 安全公告”,项目维护者可以和安全专家一起研究安全修复程序,并直接从 GitHub 上申请 CVE 编号,并披露有关漏洞的详细信息。一旦他们准备发布安全公告,GitHub 将向受影响的项目发送警报。


2019 年 11 月 18 日 18:241654
用户头像
万佳 InfoQ编辑

发布了 655 篇内容, 共 269.3 次阅读, 收获喜欢 1725 次。

关注

评论

发布
暂无评论
发现更多内容

如何写好代码注释?

蜜糖的代码注释

Java 后端 开发 2月月更

《恰如其分的软件架构》随笔一:模型是解决复杂问题的重要途径

panda

模型

在线标准程序员计算器

入门小站

工具

AI,机器人和元宇宙(9/100)

hackstoic

元宇宙

Jvm 参数默认值

努力努力再努力

第七节:SpringBoot高级属性配置二

入门小站

springboot Java EE

开源效能可视化平台介绍 -DevLake

夏兮。

效能平台 MARI

守护石谈学习Java之路

守护石

Java 学习方法 经验分享 编程学习

团队开周会的目的:保证有效的协同效应和构建PDCA循环

panda

管理 PDCA 周会 协同效应

Linux之top命令

入门小站

Linux

2021考了个PMP

夏兮。

PMP Certification

视频绿幕抠像一键搞定,这些好用工具你要知道。

彭宏豪95

效率 工具 视频剪辑

JVM进阶(二):初识 JAVA 堆

No Silver Bullet

Java JVM 内存 2月月更

JVM进阶(三):内存分配与回收策略

No Silver Bullet

Java JVM 内存分配 2月月更

JavaScript 数组常见操作(一)

编程三昧

JavaScript 前端开发 数组操作 2月月更

架构实战训练营-模块9-作业

温安适

「架构实战营」

JVM进阶(六):鲜为人知的二次标记

No Silver Bullet

JVM 日志分析 2月月更 二次标记

Netflix是如何做决策的? | 4. A/B测试结果之假阴性和统计功效

俞凡

数据分析 netflix 大厂实践 2月月更

一条SQL更新语句是如何执行的?

蝉沐风

MySQL MySQL InnoDB

计算机视觉算法探究:OpenCV CLAHE算法详解| 社区征文

老猿Python

AI 算法 计算机视觉 新春征文 CLAHE

架构训练营 week8 课程总结

红莲疾风

「架构实战营」

[架构实战营] 模块八作业

Geek_0ed632

「架构实战营」

架构训练营 week9 课程总结

红莲疾风

「架构实战营」

如何阻止软件退化?

蜜糖的代码注释

Java 后端开发 项目实践 2月月更

在线SVG在线编辑器

入门小站

工具

图解MySQL(5)-Buffer Pool的flush链表

JavaEdge

2月月更

对 HTTP 缓存的全面总结

编程三昧

缓存 前端开发 HTTP 2月月更

JVM进阶(五):JAVA GC 之标记

No Silver Bullet

JVM 2月月更 标记 MAT

WebRTC 传输通道的建立过程解析 | 社区征文

liuzhen007

音视频 新春征文 2月月更

Netflix是如何做决策的? | 5. 在做决定时建立信心

俞凡

数据分析 netflix 大厂实践 2月月更

M3U8 视频封装格式的深度解析 | 社区征文

liuzhen007

音视频 新春征文 2月月更

Techo Day 腾讯技术开放日「轻量级云开发与云应用」

Techo Day 腾讯技术开放日「轻量级云开发与云应用」

GitHub的雄心:推出安全实验室,共同保护全球代码_安全_万佳_InfoQ精选文章