GitHub 的雄心：推出安全实验室，共同保护全球代码

近日，在 GitHub Universe 2019 大会上，GitHub 宣布推出“安全实验室（Security Lab）“，汇聚安全研究人员查找并修复开源项目中的安全漏洞。

在当今的软件开发中，开源软件扮演着越来越重要的角色，也是软件供应链的重要组成部分。根据 Gartner 的调查显示，99%的组织在 IT 系统中使用了开源软件。来自 Sonatype 公司的一项调查显示，在参与调查的 3000 家企业中，每家企业每年平均下载 5000 个开源软件。

但是，开源软件存在大量的安全隐患，这正是 GitHub 所担忧的。近年来，开源软件频频曝出高危漏洞，比如 Strusts2、OpenSSL 等。GitHub 官方称，“我们所有人都有共同的责任来确保开源软件的安全，但是我们谁也无法独自做到这一点。”

据悉，GitHub 安全实验室的使命是激发和推动全球安全研究社区去保护全球代码。

安全实验室的创始成员来自著名组织机构，包括微软、谷歌、英特尔、摩根大通、甲骨文、优步、Mozilla、F5、VMWare、LinkedIn、NCC 集团、HackerOne、Okta、IOActive 和 Trail of Bits。

此外，其他组织机构和个人安全研究者也可以加入。

截至目前，安全实验室的创始成员已经发现、报告并协助修复开源项目中 100 多个安全漏洞。

“我们将以身作则，团队成员专注于发现和报告重要开源项目中的安全漏洞。”GitHub 表示。

不过，GitHub 也承认保护全球的开源软件是一项艰巨任务。首先是规模，仅仅 JavaScript 生态系统就有超过 100 万的开源软件包；其次是安全专家的短缺，安全专家和开发者人数比例为 1:500；最后是全球的安全专家遍布于数千家公司，协调困难大。

而 GitHub 设立安全实验室的目的是汇聚人才，让更多的安全专家发现、报告和协助修复安全漏洞。

同时，为使行动更好开展，GitHub 实验室还免费提供CodeQL，任何人都可以利用它在开源代码中寻找漏洞。

据了解，CodeQL 是 GitHub 最新推出的一款新型开源工具，它是一款语义代码分析引擎，旨在查找大量代码中同一漏洞的不同版本。

除 GitHub 平台外，CodeQL 已经应用于其它平台的漏洞代码扫描活动中，如 Mozilla。

此外，GitHub 还设立了奖金最高为 3000 美元的漏洞奖励计划，用来补偿漏洞猎人在查找开源项目漏洞上投入的时间。

这些仅仅是 GitHub 雄心的一部分。为提升 GitHub 生态系统的整体安全性，GitHub 还推出了四大举措，力图从安全研究者到开发者，构建一套完善的安全体系。

1.自动化安全更新

为帮助开发人员快速响应新漏洞，GitHub 创建了自动安全更新。

2.令牌扫描

在将提交推送到公共仓库或者将私有仓库转换为公共时，GitHub 会扫描提交或仓库的内容，查找20个不同云服务提供商颁发的令牌。

当 GitHub 检测到匹配项时，它们会通知颁发令牌的服务提供商。 服务提供商会采取行动，通常是吊销令牌并通知受影响的用户。GitHub 宣布新增 4 个合作伙伴： GoCardless、HashiCorp、Postman 和 Tencent。

3.GitHub 安全公告数据库

据悉， GitHub 安全公告数据库用于收集平台上能找到的所有安全公告，更方便所有人追踪在 GitHub 托管项目中找到的安全漏洞问题。

4.GitHub 安全公告

值得一提的是，GitHub 成为授权 CVE 编号发布机构，即它可以为漏洞发布 CVE 编号。

借助“GitHub 安全公告”，项目维护者可以和安全专家一起研究安全修复程序，并直接从 GitHub 上申请 CVE 编号，并披露有关漏洞的详细信息。一旦他们准备发布安全公告，GitHub 将向受影响的项目发送警报。