Мы все несем коллективную ответственность за обеспечение безопасности программного обеспечения с открытым исходным кодом — никто из нас не может это делать в одиночку. Сегодня в Github Universe мы объявили Github Security Lab. Место где соберутся вместе исследователи безопасности, сопровождающие и компании по всей отрасли, которые разделяют нашу убежденность в том, что безопасность открытого исходного кода важна для всех.
Мы рады иметь первоначальных партнеров, которые делают свой вклад для достижения этой цели. Вместе мы предоставляем инструменты, ресурсы, награды и тысячи часов исследований в области безопасности, чтобы помочь защитить экосистему с открытым исходных кодом.
В рамках сегодняшнего объявления GitHub Security Lab делает CodeQL свободно доступным для всех, кто может найти уязвимости в открытом исходном коде. CodeQL — это инструмент, который многие исследовательские группы по всему миру используют для проведения семантического анализа кода, и мы использовали его сами, чтобы найти более 100 зарегистрированных CVEs(Common Vulnerabilities and Exposures) в некоторых популярных open source проектов.
Мы также запускаем GitHub Advisory Database — общедоступную базу данных рекомендаций, созданную на GitHub, плюс дополнительные данные, сопоставленные с пакетами, отслеживаемыми графом зависимостей GitHub.
Подход GitHub к безопасности охватывает весь жизненный цикл безопасности open source проектов. GitHub Security Lab поможет выявлять и сообщать об уязвимостях в open source проектах, в то время как меинтейнеры и разработчики используют GitHub для создания исправлений, координации раскрытия и обновления зависимых проектов до с решенней уязвимостью.
GitHub Security Lab
Миссия GitHub Security Lab заключается в том, чтобы вдохновлять и позволять глобальному сообществу исследователей безопасности защищать код всего мира. Наша команда будет показывать пример, посвящая постоянные ресурсы поиску и составлению отчетов об уязвимоястях в притически важных open source проектах. Комадна уже выпустила более 100 CVE для обнаружения уязвимостей. Обеспечения безопасности open source проектов в мире — это непростая задача. Во-первых, масштаб: одна экосистема JavaScript содержит более миллиона open source пакетов. Кроме того, ощущается нехватка специалистов в области безопасности, примерно 500 разработчиков к одному специалисту. Наконец, существует координация: эксперты по безопасности в мире работают в тысячах компаний. GitHub Security lab и CodeQL помогут в этом. В этой работе к нам присоединяются компании, которые жертвуют свое время и опыт, чтобы найти и сообщить об уязвимостях в open source проектах. Каждый обязался внести свой вклад по-своему, и мы надеемся, что другие присоединятся к нам в будущем.- F5
- HackerOne
- Intel
- OIActive
- J.P. Morgan
- Microsoft
- Mozilla
- NCC Group
- Oracle
- Trail of Bits
- Uber
- VMWare
ПЕРЕЙДИТЕ В ПОЛНУЮ ВЕРСИЮ