Χθες, στο συνέδριο GitHub Universe για προγραμματιστές, η GitHub δήλωσε ότι ξεκινάει ένα νέο πρόγραμμα με στόχο την ενίσχυση της ασφάλειας του open-source οικοσυστήματος. Το νέο πρόγραμμα ονομάζεται Security Lab και επιτρέπει τη συμμετοχή ερευνητών ασφαλείας από διάφορες εταιρείες με σκοπό την ανίχνευση και την επίλυση σφαλμάτων σε δημοφιλή projects ανοιχτού κώδικα.
“Η αποστολή του Security Lab είναι να εμπνεύσει και να επιτρέψει στην παγκόσμια ερευνητική κοινότητα να ασφαλίσει τον κώδικα προγραμμάτων”, ανέφερε η εταιρεία.
Στο πρόγραμμα θα συμμετάσχουν ερευνητές ασφαλείας από μεγάλες εταιρείες όπως: Microsoft, Google, Mozilla, Intel, Oracle, Uber, LinkedIn, NCC Group, VMWare, J.P. Morgan, IOActive, HackerOne, F5 και Trail of Bits. Οι ερευνητές αυτοί αποτελούν, μάλιστα, ιδρυτικά μέλη.
Σύμφωνα με τη GitHub, τα ιδρυτικά μέλη του Lab Security έχουν ήδη βρει, αναφέρει και επιλύσει πάνω από 100 σφάλματα ασφαλείας. Φυσικά, μπορούν να συμμετάσχουν και άλλες εταιρείες και μεμονωμένοι ερευνητές.
Η εταιρεία δήλωσε, επίσης, όχι διαθέτει και ένα bug bounty πρόγραμμα, το οποίο επίσης στοχεύει στην ενίσχυση της ασφάλειας. Οι αμοιβές θα φτάνουν τις $ 3.000.
Σύμφωνα με την εταιρεία, οι αναφορές σφαλμάτων θα πρέπει να περιέχουν ένα CodeQL query. Το CodeQL είναι ένα νέο εργαλείο ανοικτού κώδικα που κυκλοφόρησε χθες η GitHub. Πρόκειται για μια μηχανή ανάλυσης κώδικα που έχει τη δυνατότητα να βρίσκει διαφορετικές εκδόσεις της ίδιας ευπάθειας. Η Mozilla ήδη χρησιμοποιεί αυτό το εργαλείο.
Το σχέδιο της GitHub για την ενίσχυση της ασφάλειας
Η GitHub εργαζόταν εδώ και πολύ καιρό για την ενίσχυση της ασφάλειας του οικοσυστήματός της. Φαίνεται πως το Security Lab είναι σε θέση να προσφέρει αυτή την ασφάλεια.
Τα τελευταία δύο χρόνια, η εταιρεία προσπαθούσε να ενσωματώσει ειδοποιήσεις ασφαλείας που προειδοποιούν τους διαχειριστές projects για την ύπαρξη σφαλμάτων σε dependencies.
Πριν καιρό, η GitHub άρχισε να δοκιμάζει ένα χαρακτηριστικό που θα επέτρεπε στους δημιουργούς projects να δημιουργήσουν “αυτόματες ενημερώσεις ασφαλείας“. Πώς θα γινόταν αυτό; Με την ανίχνευση ενός σφάλματος στο dependency ενός project, η GitHub θα ενημέρωνε αυτόματα το dependency και θα απελευθέρωνε μια νέα έκδοση του project.
Καθ’ όλη τη διάρκεια του 2019, έγιναν δοκιμές. Από χθες, όμως, οι αυτόματες ενημερώσεις ασφαλείας είναι διαθέσιμες σε όλους, με ενεργοποιημένες ειδοποιήσεις ασφαλείας.
Επίσης, πρόσφατα, η GitHub έγινε εξουσιοδοτημένη Αρχή Αριθμοδότησης CVE (CNA). Αυτό σημαίνει ότι μπορεί να εκδώσει αναγνωριστικά CVE για ευπάθειες.
Αυτή η δυνατότητα έχει προστεθεί σε μια νέα υπηρεσία που ονομάζεται “συμβουλές ασφαλείας“.
Μόλις επιλυθεί μια ευπάθεια, ο ιδιοκτήτης του project δημοσιεύει «συμβουλές ασφαλείας» και η GitHub προειδοποιεί όλους τους ιδιοκτήτες projects που χρησιμοποιούν ευάλωτες εκδόσεις κώδικα.
Πριν τη δημοσίευση των συμβουλών, οι ιδιοκτήτες μπορούν να ζητήσουν αριθμό CVE, απευθείας από τη GitHub, για την ευπάθεια του project τους.
Πριν από αυτό, πολλοί ιδιοκτήτες projects ανοιχτού κώδικα δεν ζητούσαν αριθμό CVE γιατί η διαδικασία ήταν δύσκολη και χρονοβόρα.
Ωστόσο, η αναγνώριση της ευπάθειας είναι απαραίτητη γιατί τα στοιχεία αυτά ενσωματώνονται σε εργαλεία ασφαλείας που σαρώνουν τον source code και τα projects για την εύρεση ευπαθειών.
Επίσης, η GitHub θέτει σε λειτουργία το GitHub Advisory Database, όπου θα συλλέγονται όλες οι συμβουλές ασφαλείας που βρίσκονται στην πλατφόρμα και έτσι οι χρήστες θα μπορούν να βλέπουν όλες τις ευπάθειες που έχουν βρεθεί στα GitHub projects.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/204434/github-security-lab-asfaleia/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:6b9920f3510255d598c7fdff9465d4e8/https://www.secnews.gr/maxresdefault1.jpg&description="Η αποστολή του GitHub Security Lab είναι να εμπνεύσει και να επιτρέψει στην παγκόσμια ερευνητική κοινότητα ασφάλειας να ασφαλίσει τον){kind=link}