压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

GitHub 最近推出了 GitHub Security Lab——供安全研究人員和開發(fā)者修復(fù)漏洞和共享專業(yè)知識的空間，旨在改善 GitHub 代碼共享生態(tài)系統(tǒng)整體安全性。

GitHub 去年被微軟以 56 億英鎊收購，現(xiàn)在是 4,000 萬開發(fā)人員的軟件開發(fā)及代碼庫。但不幸的是，惡意黑客也使用該平臺托管惡意軟件，有時候甚至還存儲被盜數(shù)據(jù)，比如 Capital One 數(shù)據(jù)泄露事件中呈現(xiàn)的那樣。

GitHub Security Lab 將幫助安全團(tuán)隊識別并報告開源軟件中的漏洞。該安全實驗室旨在令開發(fā)人員更容易使用 GitHub 來修復(fù)漏洞和項目。

GitHub 產(chǎn)品管理安全副總裁 Jamie Cool 在安全博客文章中評論道：GitHub Security Lab 的使命是激勵和幫助全球安全研究社區(qū)保護(hù)世界代碼安全。我們的團(tuán)隊將以身作則，投入全時資源查找和報告關(guān)鍵開源項目中的漏洞，目前為迄今為止發(fā)現(xiàn)的 100 多個安全漏洞發(fā)布了 CVE。

圖源：GitHub

GitHub Security Lab 嘗試建立跨行業(yè)社區(qū)，目前召集了來自 F5、Google、HackerOne、英特爾、IOActive、摩根大通、LinkedIn、微軟、Mozilla、NCC Group、甲骨文、Trail of Bits、Uber 和 VMWare 等業(yè)界領(lǐng)袖的“專業(yè)技能及時間資源”。

GitHub Security Lab

GitHub 研究踏入開源漏洞領(lǐng)域時，40% 的安全漏洞尚無 CVE 標(biāo)識，70% 的已發(fā)現(xiàn)問題在開發(fā)者接到告警后 30 天內(nèi)仍未修復(fù)。GitHub Security Lab 想要聯(lián)合開發(fā)人員，確保漏洞在修復(fù)負(fù)責(zé)人員已就位時才披露，以此解決漏洞披露后久未修復(fù)的問題。

頗為重要的是，GitHub 在兩個月前成為了 CVE 編號發(fā)布機構(gòu)，可以在需要的時候發(fā)布 CVE 編號。

作為這項倡議的一部分，GitHub 創(chuàng)建了 Security Advisories（安全咨詢）功能供維護(hù)者使用：安全研究人員在私有空間進(jìn)行安全修復(fù)，直接向 GitHub 申請 CVE，指定漏洞的結(jié)構(gòu)化細(xì)節(jié)。然后，當(dāng)他們準(zhǔn)備好發(fā)布安全咨詢時，GitHub 就會向受影響項目發(fā)送安全告警。

為使開發(fā)人員具備快速行動的能力，GitHub 將其自動化安全更新功能從測試版帶入基本可用的版本。該功能可以推送漏洞通知，更重要的是，還包含了能夠“將脆弱依賴更新至已修復(fù)版本”的拉取請求。

圖源：GitHub

GitHub 還發(fā)布了一款由該安全實驗室運營的令牌掃描應(yīng)用，能夠 “在提交推送至 GitHub（或存儲庫公開）的數(shù)秒內(nèi)，對照來自 20 個不同云供應(yīng)商的令牌格式掃描之。只要檢測到匹配，我們就會通知相應(yīng)的服務(wù)提供商，由他們采取行動，基本上就是撤銷令牌，并且通告受影響的用戶。”

GitHub 將維護(hù)者創(chuàng)建的所有數(shù)據(jù)在 GitHub Advisory Database（咨詢數(shù)據(jù)庫）中免費開放。