Ми всі несемо колективну відповідальність за безпеку програмного забезпечення з відкритим вихідним кодом — ніхто з нас не може це робити поодинці. Сьогодні в Github Universe ми оголосабо Github Security Lab . Місце, де зберуться разом дослідники безпеки, що супроводжують і компанії по всій галузі, які поділяють нашу переконаність у тому, що безпека відкритого вихідного коду важлива для всіх. Ми раді мати початкових партнерів, які роблять свій внесок для досягнення цієї мети. Разом ми надаємо інструменти, ресурси, нагороди та тисячі годин досліджень у галузі безпеки, щоб допомогти захистити екосистему з відкритим вихідним кодом. У рамках сьогоднішнього оголошення GitHub Security Lab робить CodeQLвільно доступним для всіх, хто може знайти вразливість у відкритому вихідному коді. CodeQL - це інструмент, який багато дослідних груп по всьому світу використовують для проведення семантичного аналізу коду, і ми використовували його самі, щоб знайти більше 100 зареєстрованих CVE (Common Vulnerabilities and Exposures) в деяких популярних open source проектів. Ми також запускаємо GitHub Advisory Database— загальнодоступну базу даних рекомендацій, створену на GitHub плюс додаткові дані, зіставлені з пакетами, що відстежуються графом залежностей GitHub. Підхід GitHub до безпеки охоплює весь життєвий цикл безпеки проектів. GitHub Security Lab допоможе виявляти та повідомляти про вразливості в open source проектах, в той час як меінтейнери та розробники використовують GitHub для створення виправлень, координації розкриття та оновлення залежних проектів до вирішеної вразливості.
GitHub Security Lab
Місія GitHub Security Lab полягає в тому, щоб надихати та дозволяти глобальній спільноті дослідників безпеки захищати код усього світу. Наша команда показуватиме приклад, присвячуючи постійні ресурси пошуку та складання звітів про вразливість у притично важливих open source проектах. Комадна вже випустила понад 100 CVE для виявлення вразливостей. Забезпечення безпеки open source проектів у світі – це непросте завдання. По-перше, масштаб: одна екосистема JavaScript містить понад мільйон open source пакетів. Крім того, відчувається нестача фахівців у галузі безпеки, приблизно 500 розробників до одного фахівця. Нарешті, існує координація: експерти з безпеки у світі працюють у тисячах компаній. GitHub Security lab та CodeQL допоможуть у цьому. У цій роботі до нас приєднуються компанії, які жертвують свій час та досвід, щоб знайти та повідомити про вразливості в open source проектах. Кожен зобов'язався зробити свій внесок по-своєму, і ми сподіваємося, що інші приєднаються до нас у майбутньому.
F5
Google
HackerOne
Intel
OIActive
JP Morgan
Linkedin
Microsoft
Mozilla
NCC Group
Oracle
Trail of Bits
Uber
VMWare
Щоб розширити можливості, ми також робимо наш спільний механізм аналізу коду CodeQL безкоштовним для використання у open source проектах. CodeQL дозволяє запитувати код, якби це були дані. Якщо вам відома помилка кодування, яка призвела до вразливості, ви можете написати запит, щоб знайти всі варіанти цього коду, знищивши цілий клас вразливостей. Подивіться, як розпочати роботу з CodeQL . Якщо ти дослідник у галузі безпеки або працюєш у команді безпеки, нам потрібна твоя допомога. Забезпечення безпеки open source проектів у світі вимагатиме роботи всієї спільноти. GitHub Security Lab буде проводити заходи та ділитися найкращими практиками, щоб допомогти всім в участі. Слідкуйте за обліковим записом GHSecurityLabу Твіттері для отримання більш детальної інформації.
Поліпшення security workflow в open source
У міру того, як дослідники у світі безпеки виявляють все більше вразливостей, супроводжуючі та кінцеві користувачі потребують більш досконалих інструментів для їх усунення. Сьогодні процес усунення нових уразливостей часто має тимчасовий характер. 40% нових уразливостей в open source проектах немає ідентифікатора в CVE, коли вони оголошені, тобто не включені в жодну загальнодоступну базу даних. 70% критичних уразливостей залишаються невирішеними через 30 днів після повідомлення розробників. Ми виправляємо це. Меінтейнери та розробники тепер можуть працювати разом безпосередньо в GitHub, щоб забезпечити розкриття нових уразливостей тільки тоді, коли меінтейнери готові, а розробники можуть швидко та легко оновлювати до виправленої версії.
GitHub Security Advisories
Завдяки порадам з безпеки, меінтейнери можуть працювати з дослідниками безпеки над виправленнями у приватному просторі, подавати на заявки на CVE безпосередньо з GitHub та вказувати структуровані відомості про вразливість. Потім, коли вони будуть готові опублікувати рекомендації з безпеки, GitHub надішле оповіщення щодо порушених проектів.
Автоматичні оновлення безпеки
Отримання повідомлення про вразливі залежності корисне, але отримання pull-request'ів з виправленням ще краще. Щоб допомогти розробникам швидко реагувати на нові уразливості, GitHub створює автоматичні оновлення безпеки (automated security updates) – pull request, які оновлюють вразливу залежність до виправленої версії. Автоматичні оновлення безпеки для системи були запущені в бета-версії на GitHub Satellite 2019 і тепер здебільшого доступні та розгорнуті для кожного активного репозиторію з увімкненими попередженнями безпеки.
Сканування токенів
Однією з найпоширеніших помилок є хардкод токенів або облікових даних у проекті. Протягом кількох секунд після відправки комміту на GitHub, або переведення проекту в публічний, ми скануємо його на наявність форматів від 20 різних хмарних провайдерів. Коли ми виявляємо збіг, ми повідомляємо провайдерів, і вони роблять дії, як правило, анулюючи токени і повідомляють торкнулися користувачів. А сьогодні ми оголосабо про чотирьох нових партнерів: GoCardless, HashiCorp, Postman та Tencent.
GitHub Advisory Database
Ми зробабо всі зміни, які меінтейнери створюють у порадах з безпеки GitHub, а також додаткові дані, і замалені до пакетів, що відстежуються графом залежностей GitHub, безкоштовно. Вивчіть нову базу даних GitHub Advisory у вашому браузері, створіть прямі посилання на записи з ідентифікаторами CVE у коментарях або отримайте програмний доступ до даних за допомогою Security Advisory API endpoint. Автор: Jamie Cool Підписуйтесь на мій гітхаб акаунт romankh3 Мої інші статті:
Ми раді мати початкових партнерів, які роблять свій внесок для досягнення цієї мети. Разом ми надаємо інструменти, ресурси, нагороди та тисячі годин досліджень у галузі безпеки, щоб допомогти захистити екосистему з відкритим вихідним кодом. У рамках сьогоднішнього оголошення GitHub Security Lab робить CodeQLвільно доступним для всіх, хто може знайти вразливість у відкритому вихідному коді. CodeQL - це інструмент, який багато дослідних груп по всьому світу використовують для проведення семантичного аналізу коду, і ми використовували його самі, щоб знайти більше 100 зареєстрованих CVE (Common Vulnerabilities and Exposures) в деяких популярних open source проектів. Ми також запускаємо GitHub Advisory Database— загальнодоступну базу даних рекомендацій, створену на GitHub плюс додаткові дані, зіставлені з пакетами, що відстежуються графом залежностей GitHub. Підхід GitHub до безпеки охоплює весь життєвий цикл безпеки проектів. GitHub Security Lab допоможе виявляти та повідомляти про вразливості в open source проектах, в той час як меінтейнери та розробники використовують GitHub для створення виправлень, координації розкриття та оновлення залежних проектів до вирішеної вразливості. 
Автоматичні оновлення безпеки для системи були запущені в бета-версії на GitHub Satellite 2019 і тепер здебільшого доступні та розгорнуті для кожного активного репозиторію з увімкненими попередженнями безпеки.
Автор: Jamie Cool Підписуйтесь на мій гітхаб акаунт romankh3 Мої інші статті:
ПЕРЕЙДІТЬ В ПОВНУ ВЕРСІЮ