Платформа разработки программного обеспечения GitHub сделала свою базу данных рекомендаций открытой для участия сообщества, позволяя любому вносить свой вклад в понимание и информацию об уязвимостях безопасности, чтобы помочь улучшить безопасность цепочки поставок программного обеспечения. Полное содержимое базы данных теперь также будет опубликовано в новом общедоступном общедоступном репозитории по лицензии Ingenious Commons. Эксперты говорят, что обмен данными такого рода является ключом к повышению безопасности цепочек поставок программного обеспечения и снижению рисков, связанных с программным обеспечением.
Сообщество безопасности извлекает выгоду из бесплатных и открытых данных
Миллионы разработчиков и компаний используют GitHub для создания, доставки и обслуживания программного обеспечения. Фирма заявила, что, сделав свою базу данных рекомендаций общедоступной для сообщества, исследователи безопасности, ученые и энтузиасты смогут предоставлять, делиться и извлекать выгоду из дополнительной информации и контекста, чтобы способствовать пониманию и осведомленности сообщества о рекомендациях по безопасности.
«GitHub считает, что бесплатные и открытые данные безопасности имеют решающее значение для расширения возможностей отрасли в целом для обеспечения максимальной защиты наших цепочек поставок программного обеспечения», — добавили в компании. «База данных GitHub Advisory — крупнейшая в мире база данных уязвимостей в зависимостях программного обеспечения. Мы надеемся, что, упрощая внесение вклада и потребление, это даст еще больше возможностей и поможет повысить безопасность всего программного обеспечения».
GitHub создал пользовательский интерфейс для внесения вклада, который рассмотрят исследователи из GitHub Safety Lab. Участники могут предлагать изменения или предоставлять информацию о пакетах, затронутых версиях и затронутых экосистемах, и они получат общедоступное признание в своем профиле GitHub, как только их вклад будет принят. GitHub заявил, что формат Open-Supply Vulnerabilities (OSV) будет использоваться для рекомендаций в репозитории.
«Для масштабирования управления уязвимостями в открытом исходном коде рекомендации по безопасности должны быть широко доступными и доступными для всех, — говорит Оливер Чанг, инженер-программист группы безопасности открытого исходного кода Google. «OSV предоставляет такую возможность».
Обмен данными — неотъемлемая часть безопасности цепочки поставок программного обеспечения
Решение GitHub — это шаг вперед в обеспечении безопасности проектов и библиотек с открытым исходным кодом, заявил CSO Янив Балмас, вице-президент по исследованиям в Salt Safety. «Количество публично заявленных уязвимостей программного обеспечения находится на рекордно высоком уровне и продолжает расти из года в год. Качественный и последовательный обмен информацией может быть одним из наиболее эффективных способов решения этой проблемы», — говорит он.
Поскольку GitHub содержит большую часть кода с открытым исходным кодом, открытие базы данных рекомендаций для сообщества даст поставщикам программного обеспечения больше информации о состоянии проблем с безопасностью в каждой версии программного обеспечения или общей библиотеки, которые они используют, а также поможет охотникам за уязвимостями. сообщать об ошибках и исправлять их, — добавляет Балмас. «Это также поможет решить проблему атак на цепочку поставок программного обеспечения, поскольку даст поставщикам более четкое представление о каждом используемом совместно используемом программном компоненте и состоянии их проблем с безопасностью».
Джейк Мур, глобальный советник ESET по кибербезопасности, согласен с этим. «За последние несколько лет цепочка поставок программного обеспечения сильно пострадала: уязвимости были выявлены и опубликованы на темных рынках еще до того, как их жертвы успели отреагировать», — говорит он, добавляя, что обмен новой информацией об угрозах в доверенных сообществах позволит те, кто не может быть лучше всего защищен, чтобы получить доступ к последним обновлениям и информации об исправлениях.
© 2022 IDG Communications, Inc.
https://cyberxhack.org/