Kita semua memiliki tanggung jawab bersama untuk memastikan keamanan perangkat lunak open source - tidak ada di antara kita yang bisa melakukannya sendiri. Hari ini di Github Universe, kami mengumumkan
Lab Keamanan Github . Tempat bagi para peneliti keamanan untuk berkumpul bersama dengan perusahaan-perusahaan di sekitar industri yang berbagi keyakinan kami bahwa keamanan sumber terbuka penting bagi semua orang.
Kami senang memiliki mitra awal yang berkontribusi pada tujuan ini. Bersama-sama, kami menyediakan alat, sumber daya, penghargaan, dan ribuan jam penelitian keamanan untuk membantu melindungi ekosistem sumber terbuka.
Sebagai bagian dari pengumuman hari ini, Lab Keamanan GitHub membuat
CodeQL tersedia secara bebas bagi siapa saja yang mungkin menemukan kerentanan open source. CodeQL adalah alat yang digunakan oleh banyak kelompok penelitian di seluruh dunia untuk melakukan analisis kode semantik, dan kami menggunakannya sendiri untuk menemukan lebih dari 100 CVE terdaftar (Kerentanan Umum dan Eksposur) di beberapa proyek open source yang populer.
Kami juga meluncurkan
Basis Data Penasihat GitHub , basis data rekomendasi yang dapat diakses publik yang dibuat di GitHub, ditambah data tambahan yang dipetakan ke paket yang dilacak oleh grafik ketergantungan GitHub.
Pendekatan GitHub terhadap keamanan mencakup seluruh siklus hidup keamanan proyek sumber terbuka. GitHub Security Lab akan membantu mengidentifikasi dan melaporkan kerentanan dalam proyek-proyek open source, sementara pengelola dan pengembang menggunakan GitHub untuk membuat tambalan, mengoordinasikan pengungkapan dan pembaruan proyek-proyek tergantung dengan kerentanan yang diselesaikan.
Lab keamanan Github
Misi Lab Keamanan GitHub adalah untuk menginspirasi dan memungkinkan komunitas peneliti keamanan global untuk melindungi kode di seluruh dunia. Tim kami akan memberikan contoh, mencurahkan sumber daya yang berkelanjutan untuk menemukan dan melaporkan kerentanan dalam proyek sumber terbuka yang penting. Komadna telah merilis lebih dari 100 CVE untuk deteksi kerentanan.
Mengamankan proyek open source di dunia bukanlah tugas yang mudah. Pertama, skala: satu ekosistem JavaScript berisi lebih dari satu juta paket sumber terbuka. Selain itu, ada kekurangan spesialis keamanan, sekitar 500 pengembang untuk satu spesialis. Akhirnya, ada koordinasi: pakar keamanan di dunia bekerja di ribuan perusahaan. Laboratorium Keamanan GitHub dan CodeQL akan membantu dalam hal ini.
Dalam pekerjaan ini, kami bergabung dengan perusahaan yang menyumbangkan waktu dan pengalaman mereka untuk menemukan dan melaporkan kerentanan dalam proyek sumber terbuka. Masing-masing berjanji untuk berkontribusi dengan caranya sendiri, dan kami berharap orang lain akan bergabung dengan kami di masa depan.
- F5
- Google
- Hackerone
- Intel
- Aktif
- JP Morgan
- Linkedin
- Microsoft
- Mozilla
- Grup Ncc
- Oracle
- Jejak bit
- Uber
- VMware
Untuk memperluas kemampuan kami, kami juga membuat mesin analisis kode CodeQL kolaboratif kami gratis untuk digunakan dalam proyek-proyek sumber terbuka. CodeQL memungkinkan Anda untuk menanyakan kode seolah-olah itu adalah data. Jika Anda mengetahui kesalahan pengkodean yang menyebabkan kerentanan, Anda dapat menulis kueri untuk menemukan semua varian kode ini, menghancurkan seluruh kelas kerentanan selamanya. Lihat
cara memulai dengan CodeQL .
Jika Anda seorang peneliti keamanan atau bekerja di tim keamanan, kami membutuhkan bantuan Anda. Mengamankan proyek open source di dunia akan membutuhkan kerja seluruh komunitas. GitHub Security Lab akan menyelenggarakan acara dan berbagi praktik terbaik untuk membantu semua orang berpartisipasi. Ikuti
GHSecurityLab di Twitter untuk lebih jelasnya.
Meningkatkan alur kerja keamanan di sumber terbuka
Ketika para peneliti di dunia keamanan menemukan semakin banyak kerentanan, pengguna yang menyertainya dan pengguna akhir membutuhkan alat yang lebih canggih untuk memperbaikinya.
Saat ini, proses memperbaiki kerentanan baru seringkali bersifat sementara. 40% dari kerentanan baru dalam proyek sumber terbuka tidak memiliki pengidentifikasi di CVE ketika mereka dinyatakan, yaitu, mereka tidak termasuk dalam database publik. 70% dari kerentanan kritis tetap tidak terselesaikan 30 hari setelah pengembang diberitahu.
Kami sedang memperbaikinya. Maintainers dan developer sekarang dapat bekerja bersama secara langsung di GitHub untuk memastikan bahwa kerentanan baru diungkapkan hanya ketika pengelola siap, dan pengembang dapat dengan cepat dan mudah memperbarui ke versi yang sudah diperbaiki.
Penasihat keamanan Github
Berkat kiat keamanan, pengelola dapat bekerja dengan peneliti keamanan untuk perbaikan di ruang pribadi, melamar CVE langsung dari GitHub, dan memberikan informasi kerentanan terstruktur. Kemudian, ketika mereka siap untuk mempublikasikan rekomendasi keamanan, GitHub akan mengirimkan peringatan tentang proyek yang terkena dampak.
Pembaruan Keamanan Otomatis
Mendapatkan pemberitahuan tentang dependensi yang rentan berguna, tetapi mendapatkan permintaan tarik dengan perbaikan bahkan lebih baik. Untuk membantu pengembang dengan cepat merespons kerentanan baru, GitHub membuat pembaruan keamanan otomatis - permintaan tarik, yang memperbarui ketergantungan yang rentan ke versi tetap.
Pembaruan keamanan otomatis untuk sistem diluncurkan dalam versi beta di GitHub Satellite 2019 dan sekarang sebagian besar tersedia dan digunakan untuk setiap repositori aktif dengan peringatan keamanan diaktifkan.
Pemindaian Token
Salah satu kesalahan paling umum adalah hardcode token atau kredensial dalam proyek. Dalam beberapa detik setelah mengirimkan komit ke GitHub, atau mengalihkan proyek ke publik, kami memindai format dari 20 penyedia cloud yang berbeda. Ketika kami menemukan kecocokan, kami memberi tahu penyedia dan mereka mengambil tindakan, biasanya dengan membatalkan token dan memberi tahu pengguna yang terpengaruh. Dan hari ini kami mengumumkan empat mitra baru: GoCardless, HashiCorp, Postman dan Tencent.
Database penasihat Github
Kami membuat semua perubahan yang dibuat pengelola dalam kiat keamanan GitHub, serta data tambahan, dan dipetakan ke paket yang dipantau oleh grafik ketergantungan GitHub, tersedia secara gratis. Jelajahi basis data
GitHub Advisory baru di browser Anda, buat tautan langsung ke posting dengan ID CVE di komentar, atau akses data secara terprogram menggunakan titik akhir
API Advisory Keamanan .
