Szerző: Hlács Ferenc

2019. november 18. 11:11

Iparági biztonsági együttműködést indít a GitHub

A Security Lab a nyílt forrású projektek biztonságát hivatott javítani, egy sor nagyvállalati partnerrel közösen.

Új kezdeményezéssel tenné biztonságosabbá a nyílt forrású szoftvereket a GitHub, a vállalat elindította Security Lab programját, amelyhez vállalatok, a kódbázisok kezelői és biztonsági szakértők csatlakozását is várja. A résztvevők eszközeikkel, erőforrásaikkal, a talált hibákért felajánlott jutalmakkal, illetve komoly, a biztonsági kutatásra szánt időbefektetéssel járulnak hozzá a nyílt forrású projektek biztonságához.

A Security Lab már a rajtnál számos tekintélyes partnert maga mögött tudhat, a programhoz már többek között az anyacég Microsoft, a Google, az Intel, a LinkedIn, a Mozilla, az Uber és a VMWare is csatlakozott - de természetesen a cég további jelentkezőket is vár. A partnerek mellett maga a GitHub is komoly erőforrásokat áldoz a kezdeményezésre, ahhoz egy dedikált, teljes munkaidős biztonsági csapatot is munkába állít, a kritikus fontosságú, nyílt forrású projektek ellenőrzésére. A program keretei között  továbbá a GitHub szabadon elérhetővé teszi CodeQL szemantikus kódelemző motorját, amellyel már maga is több mint száz sérülékenységet csípett el a legnépszerűbb nyílt forrású projektekben.

githubsec

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Ahogy kapcsolódó blogposztjában a GitHub is rávilágít, a nyílt forrású projektek biztonsága bőven hagy kívánni valót maga után, az azokban felfedezett biztonsági új biztonsági rések 40 százalékának bejelentésekor nincs CVE azonosítója, így a nyilvános adatbázisokban sincs benne. A kritikus sérülékenységek 70 százalékára ráadásul 30 nappal a fejlesztők értesítése után sem érkezik javítás. A cég reményei szerint a Security Lab mindezt orvosolja majd, miután biztosítja, hogy az új sebezhetőségeket csak akkor közlik majd, ha az adott kódbázis fenntartói arra készen állnak, a fejlesztők pedig gyorsan és egyszerűen foltozhatják majd az egyes hibákat.

A programban a kódbázisok kezelői közösen dolgozhatnak a biztonsági szakértőkkel, privát környezetben, illetve a CVE igénylést egyenesen a GitHub felületéről adhatják le, az adott sebezhetőség részletes leírásával együtt. Ha mindez megvan, a GitHub Security Advisory segítségével minden érintett projektet értesíthetnek az ügyről.

Kubernetes képzéseinket már közel 300 szakember végezte el. A nagy sikerre való tekintettel a tanfolyamot aktualizált tananyaggal június 18-án újra elindítjuk! A 8 alkalmas, élő képzés képzés órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról