GitHub Advanced Security va ajuta la identificarea automată a potențialelor probleme de securitate în cea mai mare platformă open source din lume.
SOFTWARE-UL OPEN SOURCE poate fi foarte sigur. Spre deosebire de codul proprietar, care poate fi accesat direct numai de către proprii dezvoltatori, oricine poate proteja proiecte de tip open source pentru a depista defecte și bug-uri. În practică, însă, a fi open source nu este panaceu. Acum, depozitul de cod GitHub lansează noi instrumente pentru suita sa de securitate GitHub Advanced Security, care va facilita eliminarea vulnerabilităților în proiectele open source gestionate pe platforma sa.
Codul sursă deschisă prezintă câteva provocări de securitate. În practică nu există întotdeauna suficienți oameni cu expertiza potrivită. Și proiectele open source sunt în general ad hoc; nu au neapărat un proces clar pentru ca persoanele să supună vulnerabilități sau resursele disponibile pentru ca cineva să le corecteze. Chiar dacă depășiți aceste obstacole, este posibil să nu știți cine utilizează de fapt codul dvs. open source și are nevoie de un plasture.
“O mare parte din ceea ce vorbim este că există o vulnerabilitate. Care este fluxul de lucru pentru acea vulnerabilitate, acum este abordat”, spune Jamie Cool, vicepreședinte al produsului pentru securitate pentru GitHub, deținut de Microsoft. “Dar nirvana este că nu introduceți vulnerabilitatea pentru a începe. O opriți să nu mai apară vreodată. Se pare că aceasta este o problemă pe care ar trebui să-i ajutăm pe dezvoltatori să nu se prezinte din nou și din nou. încă nu am reușit ca industrie software. “
În septembrie, GitHub a achiziționat instrumentul de scanare a codurilor Semmle, ca parte a unui plan pentru a ajuta comunitatea GitHub să înlăture automat defectele comune de securitate. Advanced Security include acest serviciu, apelând la ce linie de cod conține o vulnerabilitate potențială, de ce ar putea fi exploatabil și cum să o rezolvi. Pe lângă această scanare automată, tehnologia Semmle poate fi folosită manual și de către cercetătorii de securitate. Obiectivul GitHub este să utilizeze Advanced Security ca sistem de avertizare pentru dezvoltatori, precum și un cadru integrat pentru vânătorii de erori să găsească și să raporteze probleme suplimentare.
GitHub Advanced Security include, de asemenea, instrumente care scanează „depozitele” utilizatorilor, în esență dosarul în care își depozitează proiectele de dezvoltare, pentru date secrete precum parole și chei private care nu ar trebui să fie expuse și accesibile. GitHub lucrează cu o serie de parteneri, inclusiv Amazon Web Services și Alibaba, pentru a înțelege caracteristicile jetoanelor lor de autentificare și a le localiza automat. Funcția a fost deja disponibilă pentru depozitele publice de câțiva ani, dar astăzi GitHub adaugă și suport pentru scanarea depozitelor private. GitHub spune că opt procente din depozitele publice active au avut un secret expus în ele doar în ultima lună.
Cu aceste instrumente noi, GitHub lucrează la rezolvarea problemelor de securitate la o scară largă. Deși nu toate proiectele open source se bazează pe GitHub, majoritatea o fac , iar platforma este la fel de rețea socială pentru comunitate ca un instrument de dezvoltare. Oferind funcții precum Advanced Security, GitHub poate crea un mediu în care mai multe proiecte din peisajul divers al open source au acces la aceleași tipuri de instrumente pe care companiile mari le construiesc pentru a -și îmbunătăți și proteja codul proprietar .
“Adevărul este că majoritatea întreținătorilor devin întreținători din întâmplare”, spune CEO-ul GitHub, Nat Friedman. “Fac ceva, devine folosit pe scară largă și apoi dintr-o dată sunt în această poziție de responsabilitate în ceea ce privește securitatea computerului – poate pentru bănci, pentru guverne. Este posibil să nu aibă un fond de securitate și totuși trebuie să ne asigurăm că codul pe care îl publică este sigur. Deci, provocarea constă în a-l face automat și a-l face natural. “
Deși înlăturarea mai multor defecte de securitate în cadrul proiectelor GitHub este crucială, natura interconectată a software-ului prezintă astăzi provocări de securitate. În loc să scrieți fiecare funcție și componentă de la zero, practic fiecare produs software conține un amestec de coduri proprii și componente open source. Tracker-ul de fitness și smartphone-ul dvs., ca să nu mai vorbim de mașina dvs., toate conțin elemente open source din numeroase proiecte de dezvoltatori, pe lângă hardware și software create de marca de nume.Cel mai popular
Raportarea vulnerabilităților și aducerea corecțiilor corecte către locurile potrivite sunt încă probleme proeminente, din cauza acestor interdependențe. În noiembrie, GitHub a lansat un set de instrumente numit Security Lab pentru a ajuta comunitatea să urmărească mai ușor erorile și să automatizeze mai mult procesul de corecție.
În timp ce GitHub este în măsură să facă un impact major asupra modului în care comunitatea open source gestionează securitatea, Chris Wysopal, directorul tehnologic al firmei de audit de software Veracode, subliniază că progresele înregistrate de GitHub nu lasă restul industriei. scăpat ca prin urechile acului.
„Lucrul despre GitHub este că este inerent deschis, așa că ceva pentru a îmbunătăți peisajul open source nu trebuie făcut de GitHub”, spune Wysopal. „Nu există nimic care să împiedice o terță parte să scaneze toate repozițiile GitHub, să caute vulnerabilități și să trimită informații către managerii de proiect”.
Aceasta ar necesita o mulțime de resurse. GitHub în sine spune că costă milioane de dolari pentru a oferi instrumentele de scanare și analiză a vulnerabilității gratuite în Advanced Security. Compania speră, totuși, că propria investiție poate servi drept model pentru care plătește să acorde prioritate securității în open source.
Sursa : www.wired.com