GitHub публикует консультативную базу данных, чтобы улучшить безопасность цепочки поставок программного обеспечения


Платформа разработки программного обеспечения GitHub сделала свою базу данных рекомендаций открытой для участия сообщества, позволяя любому вносить свой вклад в понимание и информацию об уязвимостях безопасности, чтобы помочь улучшить безопасность цепочки поставок программного обеспечения. Полное содержимое базы данных теперь также будет опубликовано в новом общедоступном общедоступном репозитории по лицензии Ingenious Commons. Эксперты говорят, что обмен данными такого рода является ключом к повышению безопасности цепочек поставок программного обеспечения и снижению рисков, связанных с программным обеспечением.

Сообщество безопасности извлекает выгоду из бесплатных и открытых данных

Миллионы разработчиков и компаний используют GitHub для создания, доставки и обслуживания программного обеспечения. Фирма заявила, что, сделав свою базу данных рекомендаций общедоступной для сообщества, исследователи безопасности, ученые и энтузиасты смогут предоставлять, делиться и извлекать выгоду из дополнительной информации и контекста, чтобы способствовать пониманию и осведомленности сообщества о рекомендациях по безопасности.

«GitHub считает, что бесплатные и открытые данные безопасности имеют решающее значение для расширения возможностей отрасли в целом для обеспечения максимальной защиты наших цепочек поставок программного обеспечения», — добавили в компании. «База данных GitHub Advisory — крупнейшая в мире база данных уязвимостей в зависимостях программного обеспечения. Мы надеемся, что, упрощая внесение вклада и потребление, это даст еще больше возможностей и поможет повысить безопасность всего программного обеспечения».

GitHub создал пользовательский интерфейс для внесения вклада, который рассмотрят исследователи из GitHub Safety Lab. Участники могут предлагать изменения или предоставлять информацию о пакетах, затронутых версиях и затронутых экосистемах, и они получат общедоступное признание в своем профиле GitHub, как только их вклад будет принят. GitHub заявил, что формат Open-Supply Vulnerabilities (OSV) будет использоваться для рекомендаций в репозитории.

«Для масштабирования управления уязвимостями в открытом исходном коде рекомендации по безопасности должны быть широко доступными и доступными для всех, — говорит Оливер Чанг, инженер-программист группы безопасности открытого исходного кода Google. «OSV предоставляет такую ​​возможность».

Обмен данными — неотъемлемая часть безопасности цепочки поставок программного обеспечения

Решение GitHub — это шаг вперед в обеспечении безопасности проектов и библиотек с открытым исходным кодом, заявил CSO Янив Балмас, вице-президент по исследованиям в Salt Safety. «Количество публично заявленных уязвимостей программного обеспечения находится на рекордно высоком уровне и продолжает расти из года в год. Качественный и последовательный обмен информацией может быть одним из наиболее эффективных способов решения этой проблемы», — говорит он.

© 2022 IDG Communications, Inc.

https://cyberxhack.org/