GitHub 在全球开发者大会上宣布推出新的社区计划“安全实验室 (Security Lab)”,汇聚各行各业的安全研究员查找并修复开源项目中的漏洞问题。
GitHub 在新闻稿中指出,“GitHub 安全实验室的任务是启发并赋能全球安全研究社区,保护全球代码的安全。团队将以身作则,竭尽全力找到并报告关键开源项目中的漏洞。”
该安全实验室的创始成员来自著名组织机构,如微软、谷歌、Intel、Mozilla、甲骨文、优步、VMWare、LinkedIn、摩根大通、NCC 集团、IOActive、F5、Trail of Bits 和 HackerOne 等。GitHub 表示,安全实验室的创始成员已发现、报告并协助修复了开源项目中的100多个安全漏洞。
其它组织机构以及个人安全研究员也可加入。GitHub 还设立了奖励金最高为3000美元的漏洞奖励计划,以补偿漏洞猎人在查找开源项目中漏洞时投入的时间。
该漏洞奖励计划要求提交的漏洞报告必须包括一个 CodeQL 查询。CodeQL 是GitHub 刚刚推出的一款新型开源工具,它是一款语义代码分析引擎,旨在查找大量代码中同一漏洞的不同版本。除了 GitHub 平台外,CodeQL 已经应用于其它平台的漏洞代码扫描活动中,如 Mozilla。
GitHub 推出安全实验室项目并非空穴来风。GitHub 一直都在致力于提升 GitHub 生态系统的整体安全性。例如,GitHub 在过去两年来一直都在推出安全通知,向项目维护人员发出关于包含安全缺陷的依赖关系的警告信息。
今年早些时候,GitHub 开始测试一项能够使项目作者创建“自动化安全更新”的功能。当 GitHub 从项目的依赖关系中检测到安全缺陷时,将自动更新该依赖关系并以项目维护人员的名义发布新版本。
2019年,该功能的测试版已向所有项目开放测试,而从今天开始自动的安全更新已存在并向所有启动安全警告信息的活跃库推出。
另外,最近 GitHub 还成为授权的 CVE 编号发布机构,也就是说它能够为漏洞发布 CVE 编号。这一功能已经增加至“安全建议”服务功能中。这些都是项目 “IssuesTracker” 的特殊条目,其中安全缺陷都是非公开处理的。
漏洞修复后,项目所有人就可以发布安全公告,而GitHub 将向所有使用原来维护人员的代码的易受攻击版本的上游项目所有人。但在发布安全公告前,项目所有人同时可以直接向 GitHub请求并收到 CVE 编号。
此前,鉴于严苛的进程,很多将开源项目托管在 GitHub 上的项目所有人对申请 CVE 编号望而却步。然而,获得 CVE 编号很重要,因为这些 ID 和其它详情可被集成到很多其它扫描源代码和项目漏洞的安全工具中,帮助企业从所使用的开源工具中检测出本来会被错过的漏洞。
除了新推出的安全实验室外,GitHub 还推出了 GitHub 安全公告数据库,用于收集平台上能找到的所有安全公告,更方便所有人追踪在 GitHub 托管项目中找到的安全漏洞问题。
最后,GitHub 还更新了 Token Scanning 自有服务。它能够扫描用户项目中不慎在源代码中遗留的 API 密钥和令牌。该服务此前能够为20种服务检测 API 令牌,而新版本能够检测的格式又增加四个厂商:GoCardless、HashiCorp、Postman 和腾讯云。
*参考来源:ZDNET,由奇安信代码卫士编译,转载请注明来自FreeBuf.COM