12月9日消息，GitHub 最近推出了 GitHub Security Lab——供安全研究人員和開(kāi)發(fā)者修復(fù)漏洞和共享專(zhuān)業(yè)知識(shí)的空間，旨在改善 GitHub 代碼共享生態(tài)系統(tǒng)整體安全性。GitHub 去年被微軟以 56 億英鎊收購(gòu)，現(xiàn)在是 4，000 萬(wàn)開(kāi)發(fā)人員的軟件開(kāi)發(fā)及代碼庫(kù)。但不幸的是，惡意黑客也使用該平臺(tái)托管惡意軟件，有時(shí)候甚至還存儲(chǔ)被盜數(shù)據(jù)，比如 Capital One 數(shù)據(jù)泄露事件中呈現(xiàn)的那樣。

GitHub Security Lab 將幫助安全團(tuán)隊(duì)識(shí)別并報(bào)告開(kāi)源軟件中的漏洞。該安全實(shí)驗(yàn)室旨在令開(kāi)發(fā)人員更容易使用 GitHub 來(lái)修復(fù)漏洞和項(xiàng)目。

GitHub 產(chǎn)品管理安全副總裁 Jamie Cool 在安全博客文章中評(píng)論道：GitHub Security Lab 的使命是激勵(lì)和幫助全球安全研究社區(qū)保護(hù)世界代碼安全。我們的團(tuán)隊(duì)將以身作則，投入全時(shí)資源查找和報(bào)告關(guān)鍵開(kāi)源項(xiàng)目中的漏洞，目前為迄今為止發(fā)現(xiàn)的 100 多個(gè)安全漏洞發(fā)布了 CVE。

GitHub Security Lab 嘗試建立跨行業(yè)社區(qū)，目前召集了來(lái)自 F5、Google、HackerOne、英特爾、IOActive、摩根大通、LinkedIn、微軟、Mozilla、NCC Group、甲骨文、Trail of Bits、Uber 和 VMWare 等業(yè)界領(lǐng)袖的“專(zhuān)業(yè)技能及時(shí)間資源”。

GitHub Security Lab

GitHub 研究踏入開(kāi)源漏洞領(lǐng)域時(shí)，40% 的安全漏洞尚無(wú) CVE 標(biāo)識(shí)，70% 的已發(fā)現(xiàn)問(wèn)題在開(kāi)發(fā)者接到告警后 30 天內(nèi)仍未修復(fù)。GitHub Security Lab 想要聯(lián)合開(kāi)發(fā)人員，確保漏洞在修復(fù)負(fù)責(zé)人員已就位時(shí)才披露，以此解決漏洞披露后久未修復(fù)的問(wèn)題。

頗為重要的是，GitHub 在兩個(gè)月前成為了 CVE 編號(hào)發(fā)布機(jī)構(gòu)，可以在需要的時(shí)候發(fā)布 CVE 編號(hào)。

作為這項(xiàng)倡議的一部分，GitHub 創(chuàng)建了 Security Advisories（安全咨詢）功能供維護(hù)者使用：安全研究人員在私有空間進(jìn)行安全修復(fù)，直接向 GitHub 申請(qǐng) CVE，指定漏洞的結(jié)構(gòu)化細(xì)節(jié)。然后，當(dāng)他們準(zhǔn)備好發(fā)布安全咨詢時(shí)，GitHub 就會(huì)向受影響項(xiàng)目發(fā)送安全告警。

為使開(kāi)發(fā)人員具備快速行動(dòng)的能力，GitHub 將其自動(dòng)化安全更新功能從測(cè)試版帶入基本可用的版本。該功能可以推送漏洞通知，更重要的是，還包含了能夠“將脆弱依賴(lài)更新至已修復(fù)版本”的拉取請(qǐng)求。

GitHub 還發(fā)布了一款由該安全實(shí)驗(yàn)室運(yùn)營(yíng)的令牌掃描應(yīng)用，能夠 “在提交推送至 GitHub（或存儲(chǔ)庫(kù)公開(kāi)）的數(shù)秒內(nèi)，對(duì)照來(lái)自 20 個(gè)不同云供應(yīng)商的令牌格式掃描之。只要檢測(cè)到匹配，我們就會(huì)通知相應(yīng)的服務(wù)提供商，由他們采取行動(dòng)，基本上就是撤銷(xiāo)令牌，并且通告受影響的用戶。”

GitHub 將維護(hù)者創(chuàng)建的所有數(shù)據(jù)在 GitHub Advisory Database（咨詢數(shù)據(jù)庫(kù)）中免費(fèi)開(kāi)放。