GitHub推出漏洞奖励计划 提升开源生态系统安全

2019年11月18日08:00:29 发表评论

GitHub在全球开发者大会上宣布推出新的社区计划“安全实验室(SecurityLab)”,汇聚各行各业的安全研究员查找并修复开源项目中的漏洞问题。

GitHub推出漏洞奖励计划 提升开源生态系统安全

GitHub在新闻稿中指出,“GitHub安全实验室的任务是启发并赋能全球安全研究社区,保护全球代码的安全。团队将以身作则,竭尽全力找到并报告关键开源项目中的漏洞。”

该安全实验室的创始成员来自著名组织机构,如微软、谷歌、Intel、Mozilla、甲骨文、优步、VMWare、LinkedIn、摩根大通、NCC集团、IOActive、F5、TrailofBits和HackerOne等。GitHub表示,安全实验室的创始成员已发现、报告并协助修复了开源项目中的100多个安全漏洞。

其它组织机构以及个人安全研究员也可加入。GitHub还设立了奖励金最高为3000美元的漏洞奖励计划,以补偿漏洞猎人在查找开源项目中漏洞时投入的时间。

漏洞奖励计划要求提交的漏洞报告必须包括一个CodeQL查询。CodeQL是GitHub刚刚推出的一款新型开源工具,它是一款语义代码分析引擎,旨在查找大量代码中同一漏洞的不同版本。除了GitHub平台外,CodeQL已经应用于其它平台的漏洞代码扫描活动中,如Mozilla。

GitHub推出安全实验室项目并非空穴来风。GitHub一直都在致力于提升GitHub生态系统的整体安全性。例如,GitHub在过去两年来一直都在推出安全通知,向项目维护人员发出关于包含安全缺陷的依赖关系的警告信息。

今年早些时候,GitHub开始测试一项能够使项目作者创建“自动化安全更新”的功能。当GitHub从项目的依赖关系中检测到安全缺陷时,将自动更新该依赖关系并以项目维护人员的名义发布新版本。

2019年,该功能的测试版已向所有项目开放测试,而从今天开始自动的安全更新已存在并向所有启动安全警告信息的活跃库推出。

另外,最近GitHub还成为授权的CVE编号发布机构,也就是说它能够为漏洞发布CVE编号。这一功能已经增加至“安全建议”服务功能中。这些都是项目“IssuesTracker”的特殊条目,其中安全缺陷都是非公开处理的。

漏洞修复后,项目所有人就可以发布安全公告,而GitHub将向所有使用原来维护人员的代码的易受攻击版本的上游项目所有人。但在发布安全公告前,项目所有人同时可以直接向GitHub请求并收到CVE编号。

此前,鉴于严苛的进程,很多将开源项目托管在GitHub上的项目所有人对申请CVE编号望而却步。然而,获得CVE编号很重要,因为这些ID和其它详情可被集成到很多其它扫描源代码和项目漏洞的安全工具中,帮助企业从所使用的开源工具中检测出本来会被错过的漏洞。

除了新推出的安全实验室外,GitHub还推出了GitHub安全公告数据库,用于收集平台上能找到的所有安全公告,更方便所有人追踪在GitHub托管项目中找到的安全漏洞问题。

最后,GitHub还更新了TokenScanning自有服务。它能够扫描用户项目中不慎在源代码中遗留的API密钥和令牌。该服务此前能够为20种服务检测API令牌,而新版本能够检测的格式又增加四个厂商:GoCardless、HashiCorp、Postman和腾讯云。

发表评论

后发表评论