GitHub открывает базу данных безопасности для вкладов сообщества



Поставщик программной платформы GitHub теперь опубликовал свою базу данных рекомендаций GitHub под лицензией с открытым исходным кодом, что дает участникам возможность добавлять техническую информацию к собранным рекомендациям по безопасности проектов с открытым исходным кодом, размещенных в службе.

База данных GitHub Advisory, которая, по утверждению компании, содержит самую большую коллекцию уязвимостей, обнаруженных в зависимостях программного обеспечения, используется GitHub для обеспечения работы своей автоматизированной системы проверки зависимостей Dependabot. Кроме того, репозиторий Node Package deal Supervisor (NPM) для компонентов JavaScript и репозиторий NuGet для компонентов .NET в настоящее время используют рекомендации в рамках своих проверок, направленных на поиск уязвимого кода.

По словам Кейт Кэтлин, старшего менеджера по продуктам в GitHub, база данных, содержащая более 6400 проверенных и 5200 непроверенных рекомендаций, будет быстро расти по мере того, как члены сообщества будут добавлять больше деталей и информации.

«Мы считаем, что бесплатные и открытые данные о безопасности имеют решающее значение для расширения возможностей отрасли по обеспечению безопасности наших цепочек поставок программного обеспечения, и, упрощая предоставление и использование этой информации, мы будем способствовать дальнейшему повышению безопасности всего программного обеспечения», — говорит она. «Вклады могут сообщить нам о дополнительных продуктах, о которых сообщество изначально не подозревало, что они подвержены уязвимости, или помочь улучшить описание того, как исправить уязвимость, о которой мы уже знали».

В январе GitHub, Apple, Amazon, Microsoft, Meta, Pink Hat и другие компании встретились с государственными чиновниками в Белом доме, чтобы обсудить стратегии защиты экосистемы программного обеспечения. Саммит состоялся после того, как уязвимости в широко используемом Java-компоненте Log4j потребовали масштабных глобальных усилий по поиску и устранению недостатков в уязвимых приложениях, некоторые из которых включали компонент в девятиуровневую зависимость.

Этот шаг компании расширяет ее стратегию обращения к разработчикам за рекомендациями и контентом. GitHub опубликовал всю свою консультационную базу данных в виде общедоступного репозитория, что, по сути, сделало его еще одним проектом, управляемым на сервисе компании. Кроме того, компания добавила пользовательский интерфейс для вкладов сообщества, который позволит записывать в базу данных больше деталей. Несмотря на то, что коллекция рекомендаций поддерживается специальной командой в GitHub, предоставление другим программистам возможности предлагать изменения, вероятно, расширит детали рекомендаций.

«На GitHub есть группы исследователей безопасности, которые просматривают все изменения и помогают обновлять рекомендации по безопасности, но часто есть члены сообщества с дополнительными знаниями и информацией о CVE, которым негде поделиться этими знаниями», — говорится в сообщении компании. Сообщение в блоге от 22 февраля.

По данным компании, в настоящее время GitHub насчитывает более 73 миллионов пользователей, участвующих в 200 миллионах проектов, которые стремятся использовать поддерживаемую сообществом консультативную базу данных, функцию парного программирования Copilot для разработчиков и сканер кода Dependabot для улучшения глобального цепочка поставок программного обеспечения. Компания неуклонно расширяла охват своей консультационной базы данных, добавляя поддержку программного обеспечения из экосистем Rust и Pass в 2021 году, а ранее в этом месяце объявила об улучшенных оповещениях Dependabot.

Результат повлиял на общую экосистему программных уязвимостей: в 2021 году компания зарегистрировала 1091 уязвимость в программе Not unusual Vulnerability Enumeration (CVE), что сделало GitHub крупнейшим центром нумерации CVE (CNA), за исключением MITRE Corp., которая работает программа.

GitHub ожидает, что это число будет быстро расти, поскольку разработчики привыкли отправлять отчеты об уязвимостях, говорит Кэтлин.

«Когда в 2019 году мы добавили поддержку запроса рекомендаций по безопасности непосредственно в каждый репозиторий GitHub с открытым исходным кодом, мы услышали много отзывов от сопровождающих о том, что они не знают, как получить CVE», — говорит она. «Это меньше проблем, чем раньше, но подавляющее большинство проектов с открытым исходным кодом никогда не сообщали ни об одном CVE, поэтому здесь есть большой потенциал для роста».

Безопасность цепочки поставок
Хотя открытие консультативной базы данных GitHub не является серьезным шагом для компании, которая была приобретена Microsoft в 2018 году, дополнительные функции являются частью долгосрочной тенденции для компании, которая может повысить общую надежность программного обеспечения, на котором работают многие предприятия. приложения полагаются.

«В целом мы надеемся, что это даст специалистам по сопровождению и пользователям точные, бесплатные и надежные данные о безопасности, которые помогут им защитить свои инновации с помощью обогащенной информации от сообщества», — говорит Кэтлин. «Кроме того, поскольку эти данные лежат в основе наших предупреждений Dependabot, мы рады преимуществам, которые эта расширенная информация будет иметь для пользователей, управляющих безопасностью своей цепочки поставок».

https://cyberxhack.org/