Ми всі несемо колективну відповідальність за безпеку програмного забезпечення з відкритим вихідним кодом — ніхто з нас не може це робити поодинці. Сьогодні в Github Universe ми оголосабо Github Security Lab . Місце, де зберуться разом дослідники безпеки, що супроводжують і компанії по всій галузі, які поділяють нашу переконаність у тому, що безпека відкритого вихідного коду важлива для всіх. Ми раді мати початкових партнерів, які роблять свій внесок для досягнення цієї мети. Разом ми надаємо інструменти, ресурси, нагороди та тисячі годин досліджень у галузі безпеки, щоб допомогти захистити екосистему з відкритим вихідним кодом. У рамках сьогоднішнього оголошення GitHub Security Lab робить CodeQLвільно доступним для всіх, хто може знайти вразливість у відкритому вихідному коді. CodeQL - це інструмент, який багато дослідних груп по всьому світу використовують для проведення семантичного аналізу коду, і ми використовували його самі, щоб знайти більше 100 зареєстрованих CVE (Common Vulnerabilities and Exposures) в деяких популярних open source проектів. Ми також запускаємо GitHub Advisory Database— загальнодоступну базу даних рекомендацій, створену на GitHub плюс додаткові дані, зіставлені з пакетами, що відстежуються графом залежностей GitHub. Підхід GitHub до безпеки охоплює весь життєвий цикл безпеки проектів. GitHub Security Lab допоможе виявляти та повідомляти про вразливості в open source проектах, в той час як меінтейнери та розробники використовують GitHub для створення виправлень, координації розкриття та оновлення залежних проектів до вирішеної вразливості.
GitHub Security Lab
Місія GitHub Security Lab полягає в тому, щоб надихати та дозволяти глобальній спільноті дослідників безпеки захищати код усього світу. Наша команда показуватиме приклад, присвячуючи постійні ресурси пошуку та складання звітів про вразливість у притично важливих open source проектах. Комадна вже випустила понад 100 CVE для виявлення вразливостей. Забезпечення безпеки open source проектів у світі – це непросте завдання. По-перше, масштаб: одна екосистема JavaScript містить понад мільйон open source пакетів. Крім того, відчувається нестача фахівців у галузі безпеки, приблизно 500 розробників до одного фахівця. Нарешті, існує координація: експерти з безпеки у світі працюють у тисячах компаній. GitHub Security lab та CodeQL допоможуть у цьому. У цій роботі до нас приєднуються компанії, які жертвують свій час та досвід, щоб знайти та повідомити про вразливості в open source проектах. Кожен зобов'язався зробити свій внесок по-своєму, і ми сподіваємося, що інші приєднаються до нас у майбутньому.- F5
- HackerOne
- Intel
- OIActive
- JP Morgan
- Microsoft
- Mozilla
- NCC Group
- Oracle
- Trail of Bits
- Uber
- VMWare
ПЕРЕЙДІТЬ В ПОВНУ ВЕРСІЮ