维护网络环境从代码开始
12月9日消息,github 最近推出了 github security lab——供安全研究人员和开发者修复漏洞和共享专业知识的空间,旨在改善 github 代码共享生态系统整体安全性。github 去年被微软以 56 亿英镑收购,现在是 4,000 万开发人员的软件开发及代码库。但不幸的是,恶意黑客也使用该平台托管恶意软件,有时候甚至还存储被盗数据,比如 capital one 数据泄露事件中呈现的那样。
github security lab 将帮助安全团队识别并报告开源软件中的漏洞。该安全实验室旨在令开发人员更容易使用 github 来修复漏洞和项目。
github 产品管理安全副总裁 jamie cool 在安全博客文章中评论道:github security lab 的使命是激励和帮助全球安全研究社区保护世界代码安全。我们的团队将以身作则,投入全时资源查找和报告关键开源项目中的漏洞,目前为迄今为止发现的 100 多个安全漏洞发布了 cve。
github security lab 尝试建立跨行业社区,目前召集了来自 f5、google、hackerone、英特尔、ioactive、摩根大通、linkedin、微软、mozilla、ncc group、甲骨文、trail of bits、uber 和 vmware 等业界领袖的“专业技能及时间资源”。
github security lab
github 研究踏入开源漏洞领域时,40% 的安全漏洞尚无 cve 标识,70% 的已发现问题在开发者接到告警后 30 天内仍未修复。github security lab 想要联合开发人员,确保漏洞在修复负责人员已就位时才披露,以此解决漏洞披露后久未修复的问题。
颇为重要的是,github 在两个月前成为了 cve 编号发布机构,可以在需要的时候发布 cve 编号。
作为这项倡议的一部分,github 创建了 security advisories(安全咨询)功能供维护者使用:安全研究人员在私有空间进行安全修复,直接向 github 申请 cve,指定漏洞的结构化细节。然后,当他们准备好发布安全咨询时,github 就会向受影响项目发送安全告警。
为使开发人员具备快速行动的能力,github 将其自动化安全更新功能从测试版带入基本可用的版本。该功能可以推送漏洞通知,更重要的是,还包含了能够“将脆弱依赖更新至已修复版本”的拉取请求。
github 还发布了一款由该安全实验室运营的令牌扫描应用,能够 “在提交推送至 github(或存储库公开)的数秒内,对照来自 20 个不同云供应商的令牌格式扫描之。只要检测到匹配,我们就会通知相应的服务提供商,由他们采取行动,基本上就是撤销令牌,并且通告受影响的用户。”
github 将维护者创建的所有数据在 github advisory database(咨询数据库)中免费开放。
中移物联:打造全新的5G+IOT生态圈,推动物联网产业快速发展
工业4.0在中国制造业上的应用及未来发展方向分析和探讨
索尼认为PSVR可以做得更好 但对PSVR销量满意
为企业数据保驾护航,IBM Storage Defender 正式发布
NVIDIA凭借GPU优势有望在服务器处理器三大芯片中占据其二
维护网络环境从代码开始
Libra稳定币将是数字货币创新的未来
AI大模型引发算力变革,英特尔与百度联合发起飞桨+文心大模型硬件生态共创计划 ,加速大模型开发与落地
关于机器视觉检测技术
当前安防行业的现状分析
德国嵌入式展,有人云相见!内服入场码!
钻探井筒工作液模拟实验系统助力解决井控难题
肯尼亚航空表示将不会取消其波音737 MAX 8飞机订单
九齐NY8B062D单片机的特征、功能及应用
IO-Link技术与意法半导体NATALE TESTA
自动驾驶系统设计的那些底层软件开发中的重点解读
MOSFET 安全工作区对实现稳固热插拔应用的意义所在
蔚来计划通过AI和机器人降低30%的劳动力以提高效率
亚马逊训练AI重写查询以更好地理解口语
光耦继电器跟固态继电器有什么区别
github security lab 将帮助安全团队识别并报告开源软件中的漏洞。该安全实验室旨在令开发人员更容易使用 github 来修复漏洞和项目。
github 产品管理安全副总裁 jamie cool 在安全博客文章中评论道:github security lab 的使命是激励和帮助全球安全研究社区保护世界代码安全。我们的团队将以身作则,投入全时资源查找和报告关键开源项目中的漏洞,目前为迄今为止发现的 100 多个安全漏洞发布了 cve。
github security lab 尝试建立跨行业社区,目前召集了来自 f5、google、hackerone、英特尔、ioactive、摩根大通、linkedin、微软、mozilla、ncc group、甲骨文、trail of bits、uber 和 vmware 等业界领袖的“专业技能及时间资源”。
github security lab
github 研究踏入开源漏洞领域时,40% 的安全漏洞尚无 cve 标识,70% 的已发现问题在开发者接到告警后 30 天内仍未修复。github security lab 想要联合开发人员,确保漏洞在修复负责人员已就位时才披露,以此解决漏洞披露后久未修复的问题。
颇为重要的是,github 在两个月前成为了 cve 编号发布机构,可以在需要的时候发布 cve 编号。
作为这项倡议的一部分,github 创建了 security advisories(安全咨询)功能供维护者使用:安全研究人员在私有空间进行安全修复,直接向 github 申请 cve,指定漏洞的结构化细节。然后,当他们准备好发布安全咨询时,github 就会向受影响项目发送安全告警。
为使开发人员具备快速行动的能力,github 将其自动化安全更新功能从测试版带入基本可用的版本。该功能可以推送漏洞通知,更重要的是,还包含了能够“将脆弱依赖更新至已修复版本”的拉取请求。
github 还发布了一款由该安全实验室运营的令牌扫描应用,能够 “在提交推送至 github(或存储库公开)的数秒内,对照来自 20 个不同云供应商的令牌格式扫描之。只要检测到匹配,我们就会通知相应的服务提供商,由他们采取行动,基本上就是撤销令牌,并且通告受影响的用户。”
github 将维护者创建的所有数据在 github advisory database(咨询数据库)中免费开放。
中移物联:打造全新的5G+IOT生态圈,推动物联网产业快速发展
工业4.0在中国制造业上的应用及未来发展方向分析和探讨
索尼认为PSVR可以做得更好 但对PSVR销量满意
为企业数据保驾护航,IBM Storage Defender 正式发布
NVIDIA凭借GPU优势有望在服务器处理器三大芯片中占据其二
维护网络环境从代码开始
Libra稳定币将是数字货币创新的未来
AI大模型引发算力变革,英特尔与百度联合发起飞桨+文心大模型硬件生态共创计划 ,加速大模型开发与落地
关于机器视觉检测技术
当前安防行业的现状分析
德国嵌入式展,有人云相见!内服入场码!
钻探井筒工作液模拟实验系统助力解决井控难题
肯尼亚航空表示将不会取消其波音737 MAX 8飞机订单
九齐NY8B062D单片机的特征、功能及应用
IO-Link技术与意法半导体NATALE TESTA
自动驾驶系统设计的那些底层软件开发中的重点解读
MOSFET 安全工作区对实现稳固热插拔应用的意义所在
蔚来计划通过AI和机器人降低30%的劳动力以提高效率
亚马逊训练AI重写查询以更好地理解口语
光耦继电器跟固态继电器有什么区别