Iparági biztonsági együttműködést indít a GitHub
A Security Lab a nyílt forrású projektek biztonságát hivatott javítani, egy sor nagyvállalati partnerrel közösen.
Új kezdeményezéssel tenné biztonságosabbá a nyílt forrású szoftvereket a GitHub, a vállalat elindította Security Lab programját, amelyhez vállalatok, a kódbázisok kezelői és biztonsági szakértők csatlakozását is várja. A résztvevők eszközeikkel, erőforrásaikkal, a talált hibákért felajánlott jutalmakkal, illetve komoly, a biztonsági kutatásra szánt időbefektetéssel járulnak hozzá a nyílt forrású projektek biztonságához.
A Security Lab már a rajtnál számos tekintélyes partnert maga mögött tudhat, a programhoz már többek között az anyacég Microsoft, a Google, az Intel, a LinkedIn, a Mozilla, az Uber és a VMWare is csatlakozott - de természetesen a cég további jelentkezőket is vár. A partnerek mellett maga a GitHub is komoly erőforrásokat áldoz a kezdeményezésre, ahhoz egy dedikált, teljes munkaidős biztonsági csapatot is munkába állít, a kritikus fontosságú, nyílt forrású projektek ellenőrzésére. A program keretei között továbbá a GitHub szabadon elérhetővé teszi CodeQL szemantikus kódelemző motorját, amellyel már maga is több mint száz sérülékenységet csípett el a legnépszerűbb nyílt forrású projektekben.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Ahogy kapcsolódó blogposztjában a GitHub is rávilágít, a nyílt forrású projektek biztonsága bőven hagy kívánni valót maga után, az azokban felfedezett biztonsági új biztonsági rések 40 százalékának bejelentésekor nincs CVE azonosítója, így a nyilvános adatbázisokban sincs benne. A kritikus sérülékenységek 70 százalékára ráadásul 30 nappal a fejlesztők értesítése után sem érkezik javítás. A cég reményei szerint a Security Lab mindezt orvosolja majd, miután biztosítja, hogy az új sebezhetőségeket csak akkor közlik majd, ha az adott kódbázis fenntartói arra készen állnak, a fejlesztők pedig gyorsan és egyszerűen foltozhatják majd az egyes hibákat.
A programban a kódbázisok kezelői közösen dolgozhatnak a biztonsági szakértőkkel, privát környezetben, illetve a CVE igénylést egyenesen a GitHub felületéről adhatják le, az adott sebezhetőség részletes leírásával együtt. Ha mindez megvan, a GitHub Security Advisory segítségével minden érintett projektet értesíthetnek az ügyről.