علينا جميعا مسؤولية جماعية لضمان أمن البرمجيات مفتوحة المصدر - لا أحد منا يستطيع القيام بذلك بمفرده. اليوم في معهد جيثب ، أعلنا عن
مختبر جيثب للأمن . مكان للباحثين عن الأمن للالتقاء مع الشركات في جميع أنحاء الصناعة التي تشاركنا إيماننا بأن أمن المصادر المفتوحة أمر مهم للجميع.
يسرنا أن يكون لدينا شركاء مبدئيون يساهمون في هذا الهدف. نوفر معًا الأدوات والموارد والجوائز وآلاف الساعات من الأبحاث الأمنية للمساعدة في حماية النظام البيئي المفتوح المصدر.
كجزء من إعلان اليوم ، يتيح GitHub Security Lab
توفير CodeQL مجانًا لأي شخص قد يجد نقاط ضعف مفتوحة المصدر. CodeQL هي أداة تستخدمها العديد من مجموعات البحث حول العالم لإجراء تحليل الشفرة الدلالية ، وقد استخدمناها بأنفسنا لإيجاد أكثر من 100 CVEs مسجلة (نقاط الضعف العامة والتعرض) في بعض المشاريع الشعبية المفتوحة المصدر.
نطلق أيضًا
قاعدة بيانات GitHub الاستشارية ، وهي قاعدة بيانات توصيات يمكن الوصول إليها بشكل عام تم إنشاؤها على GitHub ، بالإضافة إلى بيانات إضافية تم تعيينها للحزم التي يتم تتبعها بواسطة الرسم البياني للاعتماد GitHub.
يمتد نهج GitHub للأمان طوال دورة حياة الأمان الكاملة للمشاريع مفتوحة المصدر. سيساعد GitHub Security Lab على تحديد الثغرات الأمنية والإبلاغ عنها في مشاريع مفتوحة المصدر ، بينما يستخدم المشرفون والمطورون GitHub لإنشاء تصحيحات ، وتنسيق الكشف عن المشاريع التابعة وتحديثها مع ثغرة أمنية تم حلها.
مختبر جيثب الأمني
تتمثل مهمة GitHub Security Lab في إلهام وتمكين المجتمع العالمي من الباحثين في مجال الأمن لحماية الشفرات حول العالم. سيشكل فريقنا مثالاً ، يكرس الموارد المستمرة لإيجاد نقاط الضعف والإبلاغ عنها في المشاريع المفتوحة المصدر الحاسمة. أصدرت Komadna بالفعل أكثر من 100 CVEs لاكتشاف الثغرات الأمنية.
إن تأمين مشاريع مفتوحة المصدر في العالم ليس بالأمر السهل. أولاً ، النطاق: يحتوي نظام بيئي JavaScript واحد على أكثر من مليون حزمة مفتوحة المصدر. بالإضافة إلى ذلك ، هناك نقص في المتخصصين في مجال الأمن ، حوالي 500 مطور لأخصائي واحد. أخيرًا ، هناك تنسيق: يعمل خبراء الأمن في العالم في آلاف الشركات. سيساعد مختبر GitHub Security و CodeQL في هذا.
في هذا العمل ، تنضم إلينا الشركات التي تتبرع بوقتها وتجربتها للعثور على نقاط الضعف في المشاريع مفتوحة المصدر والإبلاغ عنها. تعهد كل منهم بالمساهمة بطريقته الخاصة ، ونأمل أن ينضم إلينا الآخرون في المستقبل.
- F5
- جوجل
- HackerOne
- إنتل
- OIActive
- جيه بي مورغان
- تابعني على
- مايكروسوفت
- موزيلا
- مجموعة NCC
- وحي
- درب من البتات
- اوبر
- برنامج VMWare
لتوسيع قدراتنا ، نجعل محرك تحليل كود كود التعاوني مجانيًا للاستخدام في مشاريع مفتوحة المصدر. يسمح لك CodeQL بالاستعلام عن الكود كما لو كانت بيانات. إذا كنت تعرف خطأ تشفير أدى إلى وجود ثغرة أمنية ، فيمكنك كتابة استعلام للعثور على جميع المتغيرات الموجودة في هذه التعليمة البرمجية ، مما يؤدي إلى إتلاف فئة كاملة من نقاط الضعف إلى الأبد.
تعرف على كيفية البدء باستخدام CodeQL .
إذا كنت باحثًا أمنيًا أو تعمل في فريق أمان ، فنحن بحاجة إلى مساعدتك. يتطلب تأمين مشاريع مفتوحة المصدر في العالم عمل المجتمع بأكمله. سيستضيف GitHub Security Lab الأحداث ويشارك أفضل الممارسات لمساعدة الجميع على المشاركة. اتبع
GHSecurityLab على تويتر لمزيد من التفاصيل.
تحسين سير العمل الأمني في المصدر المفتوح
عندما يكتشف الباحثون في عالم الأمن المزيد والمزيد من نقاط الضعف ، يحتاج المستخدمون المرافقون والمستخدمون إلى أدوات أفضل لإصلاحها.
اليوم ، عملية إصلاح الثغرات الأمنية الجديدة غالباً ما تكون مؤقتة. 40٪ من نقاط الضعف الجديدة في مشاريع مفتوحة المصدر ليس لها معرف في CVE عندما يتم الإعلان عنها ، أي أنها غير مدرجة في أي قاعدة بيانات عامة. 70٪ من الثغرات الحرجة تبقى بدون حل بعد 30 يومًا من إخطار المطورين.
نحن إصلاحه. يمكن الآن لصيانة المنازل والمطورين العمل مباشرة على GitHub لضمان عدم الكشف عن الثغرات الجديدة إلا عندما يكون المشرفون جاهزين ، ويمكن للمطورين التحديث بسرعة وسهولة إلى إصدار ثابت.
جيثب للاستشارات الأمنية
بفضل نصائح الأمان ، يمكن للمشرفين العمل مع الباحثين في مجال الأمن على إصلاحات في المساحة الخاصة ، والتقدم بطلب للحصول على CVEs مباشرة من GitHub ، وتوفير معلومات حول الثغرات الهيكلية. بعد ذلك ، عندما يكونون جاهزين لنشر توصيات الأمان ، سترسل GitHub تنبيهات بشأن المشاريع المتأثرة.
تحديثات الأمان التلقائي
من المفيد الحصول على إعلامات بالتبعيات الضعيفة ، لكن الحصول على طلبات السحب والإصلاح مع إصلاح أفضل. لمساعدة المطورين على الاستجابة سريعًا للثغرات الأمنية الجديدة ، يقوم GitHub بإنشاء تحديثات أمان تلقائية - طلب سحب ، والتي تعمل على تحديث التبعية الضعيفة للإصدار الثابت.
تم إطلاق تحديثات الأمان التلقائية للنظام في مرحلة تجريبية على GitHub Satellite 2019 وهي الآن متاحة في الغالب ويتم نشرها لكل مستودع نشط مع تمكين التنبيهات الأمنية.
رمز المسح الضوئي
أحد الأخطاء الأكثر شيوعًا هو القرص الثابت للرموز أو بيانات الاعتماد في المشروع. في غضون ثوانٍ قليلة بعد إرسال التزام إلى GitHub ، أو تحويل المشروع إلى الجمهور ، نقوم بمسحه ضوئيًا بحثًا عن تنسيقات من 20 مزوّدًا سحابيًا مختلفين. عندما نعثر على تطابق ، فإننا نخطر مقدمي الخدمة ويتخذون إجراءات ، عادةً عن طريق إلغاء الرموز وإعلام المستخدمين المتأثرين. واليوم أعلنا عن أربعة شركاء جدد: GoCardless و HashiCorp و Postman و Tencent.
قاعدة بيانات جيثب الاستشارية
لقد أجرينا جميع التغييرات التي ينشئها المشرفون في نصائح الأمان لـ GitHub ، بالإضافة إلى البيانات الإضافية ، وتم تعيينها على الحزم التي يتم مراقبتها بواسطة الرسم البياني للاعتماد GitHub ، وهي متاحة مجانًا. استكشف قاعدة بيانات
GitHub الاستشارية الجديدة في المستعرض الخاص بك ، وقم بإنشاء روابط مباشرة إلى النشرات ذات معرّفات CVE في التعليقات ، أو قم بالوصول إلى البيانات برمجيًا باستخدام نقطة نهاية
API Security Security .
