腾讯亿级用户规模自研业务的上云实践解读,立即报名 了解详情
写点什么

GitHub 的雄心:推出安全实验室,共同保护全球代码

  • 2019-11-18
  • 本文字数:1359 字

    阅读完需:约 4 分钟

GitHub的雄心:推出安全实验室,共同保护全球代码

近日,在 GitHub Universe 2019 大会上,GitHub 宣布推出“安全实验室(Security Lab)“,汇聚安全研究人员查找并修复开源项目中的安全漏洞。



在当今的软件开发中,开源软件扮演着越来越重要的角色,也是软件供应链的重要组成部分。根据 Gartner 的调查显示,99%的组织在 IT 系统中使用了开源软件。来自 Sonatype 公司的一项调查显示,在参与调查的 3000 家企业中,每家企业每年平均下载 5000 个开源软件。


但是,开源软件存在大量的安全隐患,这正是 GitHub 所担忧的。近年来,开源软件频频曝出高危漏洞,比如 Strusts2、OpenSSL 等。GitHub 官方称,“我们所有人都有共同的责任来确保开源软件的安全,但是我们谁也无法独自做到这一点。”



据悉,GitHub 安全实验室的使命是激发和推动全球安全研究社区去保护全球代码。


安全实验室的创始成员来自著名组织机构,包括微软、谷歌、英特尔、摩根大通、甲骨文、优步、Mozilla、F5、VMWare、LinkedIn、NCC 集团、HackerOne、Okta、IOActive 和 Trail of Bits。


此外,其他组织机构和个人安全研究者也可以加入。


截至目前,安全实验室的创始成员已经发现、报告并协助修复开源项目中 100 多个安全漏洞。



“我们将以身作则,团队成员专注于发现和报告重要开源项目中的安全漏洞。”GitHub 表示。


不过,GitHub 也承认保护全球的开源软件是一项艰巨任务。首先是规模,仅仅 JavaScript 生态系统就有超过 100 万的开源软件包;其次是安全专家的短缺,安全专家和开发者人数比例为 1:500;最后是全球的安全专家遍布于数千家公司,协调困难大。


而 GitHub 设立安全实验室的目的是汇聚人才,让更多的安全专家发现、报告和协助修复安全漏洞。


同时,为使行动更好开展,GitHub 实验室还免费提供CodeQL,任何人都可以利用它在开源代码中寻找漏洞。


据了解,CodeQL 是 GitHub 最新推出的一款新型开源工具,它是一款语义代码分析引擎,旨在查找大量代码中同一漏洞的不同版本。



除 GitHub 平台外,CodeQL 已经应用于其它平台的漏洞代码扫描活动中,如 Mozilla。


此外,GitHub 还设立了奖金最高为 3000 美元的漏洞奖励计划,用来补偿漏洞猎人在查找开源项目漏洞上投入的时间。


这些仅仅是 GitHub 雄心的一部分。为提升 GitHub 生态系统的整体安全性,GitHub 还推出了四大举措,力图从安全研究者到开发者,构建一套完善的安全体系。


1.自动化安全更新

为帮助开发人员快速响应新漏洞,GitHub 创建了自动安全更新。


2.令牌扫描

在将提交推送到公共仓库或者将私有仓库转换为公共时,GitHub 会扫描提交或仓库的内容,查找20个不同云服务提供商颁发的令牌。


当 GitHub 检测到匹配项时,它们会通知颁发令牌的服务提供商。 服务提供商会采取行动,通常是吊销令牌并通知受影响的用户。GitHub 宣布新增 4 个合作伙伴: GoCardless、HashiCorp、Postman 和 Tencent。


3.GitHub 安全公告数据库


据悉, GitHub 安全公告数据库用于收集平台上能找到的所有安全公告,更方便所有人追踪在 GitHub 托管项目中找到的安全漏洞问题。


4.GitHub 安全公告

值得一提的是,GitHub 成为授权 CVE 编号发布机构,即它可以为漏洞发布 CVE 编号。


借助“GitHub 安全公告”,项目维护者可以和安全专家一起研究安全修复程序,并直接从 GitHub 上申请 CVE 编号,并披露有关漏洞的详细信息。一旦他们准备发布安全公告,GitHub 将向受影响的项目发送警报。


2019-11-18 18:241720
用户头像
万佳 InfoQ编辑

发布了 675 篇内容, 共 289.9 次阅读, 收获喜欢 1747 次。

关注

评论

发布
暂无评论
发现更多内容

最全总结 | 聊聊 Python 数据处理全家桶(存储过程篇)

星安果

Python 数据库

Ipfs未来价值怎么样?Ipfs值得投资吗?

区块链 分布式存储 IPFS fil IPFS未来价值

写作7堂课——【1.框架式写作】

LeifChen

框架 结构化思维 写作技巧 8月日更

第一次凡尔赛,字节跳动3面+腾讯6面一次过,谈谈我的大厂面经

Java~~~

Java 面试 微服务 多线程 架构师

云计算以及云计算周边词概念简单介绍-行云管家

行云管家

云计算 服务器 云服务

Github首次开放,一天遭狂转 50w 次!阿里内部不外传的 100 万字 Java 面试手册!

Java 程序员 架构 面试 计算机

拍乐云创始人赵加雨:沉浸式音视频加持数智化未来世界

拍乐云Pano

资深大牛带你了解源码!最新Android面试题整理

欢喜学安卓

android 程序员 面试 移动开发

贝壳找房基于StarRocks构建全新统一的极速OLAP平台实践

StarRocks

数据库 数据分析 OLAP StarRocks

Linux内核分析学习路线总结(内核人员必看)

Linux服务器开发

操作系统 Linux内核 内核源码 内核开发 驱动开发

FastApi-06-请求体-3

Python研究所

FastApi 8月日更

从关门“振动”说起,在这部剧本杀综艺里,爱奇艺隐藏了多少技术“小心机”

爱奇艺技术产品团队

综艺节目 互动视频技术 爱奇艺

使用PyTorch构建神经网络模型进行手写识别

Shirakawa

神经网络 机器学习 深度学习 PyTorch 手写识别

【共识专栏】Quorum机制与PBFT

趣链科技

区块链 共识机制 PBFT 共识算法

阿里顶级大佬整理出十六个专题的Java面试指南,金九银十不用愁!

Java 编程 架构 面试 架构师

华为大神珍藏版:SpringBoot全优笔记,面面俱到太全了

Java~~~

Java 面试 微服务 Spring Boot 架构师

字节跳动Android面试:2021Android大厂面试知识分享

欢喜学安卓

android 程序员 面试 移动开发

现有市值管理机器人|交Y机器人系统源码搭建

Geek_23f0c3

做市机器人 去中心化市值管理机器人

中台的前世今生

涛哥

企业架构 中台架构 中台的由来

维护数据隐私和增强竞争优势的秘密

九河云安全

番外1. OpenCV 图像处理之图片加载与视频加载

梦想橡皮擦

8月日更

镜像是什么意思?分类有哪些?

行云管家

网络安全 镜像 堡垒机 云厂商

Python RPC 不会?不妨看看这篇文章

星安果

Python RPC RPC架构

开放搜索电商行业模版驱动业务增长实践

阿里云大数据AI技术

5 分钟,快速入门 Python JWT 接口认证

星安果

Python JWT

一个算法“拿下”两个榜单!爱奇艺ICCV 2021论文提出人手三维重建新方法

爱奇艺技术产品团队

vr 论文 ICCV2021 高精度三维重建

为什么拥抱能源的数字未来意味着在云上全力以赴

九河云安全

一周信创舆情观察(7.26~8.1)

统小信uos

摘下手机赛场的夏季“金牌”,荣耀的“飞人之路”

脑极体

GitHub的雄心:推出安全实验室,共同保护全球代码_安全_万佳_InfoQ精选文章