维护网络环境从代码开始

12月9日消息，GitHub 最近推出了 GitHub Security Lab——供安全研究人员和开发者修复漏洞和共享专业知识的空间，旨在改善 GitHub 代码共享生态系统整体安全性。GitHub 去年被微软以 56 亿英镑收购，现在是 4，000 万开发人员的软件开发及代码库。但不幸的是，恶意黑客也使用该平台托管恶意软件，有时候甚至还存储被盗数据，比如 Capital One 数据泄露事件中呈现的那样。

GitHub Security Lab 将帮助安全团队识别并报告开源软件中的漏洞。该安全实验室旨在令开发人员更容易使用 GitHub 来修复漏洞和项目。

GitHub 产品管理安全副总裁 Jamie Cool 在安全博客文章中评论道：GitHub Security Lab 的使命是激励和帮助全球安全研究社区保护世界代码安全。我们的团队将以身作则，投入全时资源查找和报告关键开源项目中的漏洞，目前为迄今为止发现的 100 多个安全漏洞发布了 CVE。

GitHub Security Lab 尝试建立跨行业社区，目前召集了来自 F5、Google、HackerOne、英特尔、IOActive、摩根大通、LinkedIn、微软、Mozilla、NCC Group、甲骨文、Trail of Bits、Uber 和 VMWare 等业界领袖的“专业技能及时间资源”。

GitHub Security Lab

GitHub 研究踏入开源漏洞领域时，40% 的安全漏洞尚无 CVE 标识，70% 的已发现问题在开发者接到告警后 30 天内仍未修复。GitHub Security Lab 想要联合开发人员，确保漏洞在修复负责人员已就位时才披露，以此解决漏洞披露后久未修复的问题。

颇为重要的是，GitHub 在两个月前成为了 CVE 编号发布机构，可以在需要的时候发布 CVE 编号。

作为这项倡议的一部分，GitHub 创建了 Security Advisories（安全咨询）功能供维护者使用：安全研究人员在私有空间进行安全修复，直接向 GitHub 申请 CVE，指定漏洞的结构化细节。然后，当他们准备好发布安全咨询时，GitHub 就会向受影响项目发送安全告警。

为使开发人员具备快速行动的能力，GitHub 将其自动化安全更新功能从测试版带入基本可用的版本。该功能可以推送漏洞通知，更重要的是，还包含了能够“将脆弱依赖更新至已修复版本”的拉取请求。

GitHub 还发布了一款由该安全实验室运营的令牌扫描应用，能够 “在提交推送至 GitHub（或存储库公开）的数秒内，对照来自 20 个不同云供应商的令牌格式扫描之。只要检测到匹配，我们就会通知相应的服务提供商，由他们采取行动，基本上就是撤销令牌，并且通告受影响的用户。”

GitHub 将维护者创建的所有数据在 GitHub Advisory Database（咨询数据库）中免费开放。