GitHub ha annunciato che l’Advisory Database per la sicurezza dei dati è ora aperto a tutti coloro che vorranno contribuire attivamente. Per capire come si è arrivati a questa decisione facciamo un passo indietro e cerchiamo di capire come si è mossa GitHub in questi ultimi due anni per efficientare la sicurezza del codice open source.
GitHub Security Lab
Per chi non lo sapesse, il GitHub Advisory Database altro non è che un database completamente aperto che raccoglie le CVE che affliggono il software open source. Come è nato? Dopo l’acquisizione da parte di Microsoft, è stato lanciato il GitHub Security Lab, con l’obiettivo di proteggere i progetti open source. Il GitHub Security Lab riunisce ricercatori di sicurezza di organizzazioni partner come Google, Microsoft, Mozilla, Oracle, Uber e HackerOne.
Per lavorare con i manutentori in uno spazio privato, GitHub ha anche lanciato i Security Advisories. Una volta completati, gli avvisi di sicurezza vengono inviati al progetto interessato e registrati nel GitHub Advisory Database e nell’API SecurityAdvisory. Il GitHub Advisory Database è dunque un enorme raccolta di vulnerabilità e consente agli sviluppatori di cercare problemi noti che influiscono anche sui propri progetti.
GitHub Advisory Database: serve il contributo di tutti
La mossa si inserisce in una già ampia spinta industriale che ha l’obiettivo di proteggere la supply-chain del software. Di recente si è tenuto un vertice sulla sicurezza ospitato dalla Casa Bianca che ha cercato di affrontare tema. L’obiettivo è trovare il modo migliore per affrontare i difetti nel software open, tema molto sentito soprattutto dopo la recente scoperta della vulnerabilità Log4j.
Gli obiettivi dichiarati da GitHub sono tre:
- Fornire un repository free e open source di avvisi di sicurezza
- Consentire alla community di accedere a questi avvisi, facendoli propri e imparando in modo da evitare che vengano ripetuti
- Far nascere uno standard che permetta di affrontare in modo deciso ed efficiente le vulnerabilità
Considerando la quantità di vulnerabilità e i nuovi vettori di attacco che emergono quotidianamente, l’azienda ritiene che in questo modo i membri della sua comunità possano condividere al meglio ulteriori approfondimenti e informazioni sulle varie CVE. Tutti gli avvisi riconosciuti da GitHub sono archiviati come singoli file in questo repository. Sono formattati nel formato Open Source Vulnerability (OSV).
GitHub ritiene che permettere a tutti di accedere a queste informazioni sia fondamentale per consentire al settore nel suo insieme di proteggere al meglio il software. GitHub sta pubblicando l’intero contenuto dell’Advisory Database per permettere alla community di trarre un vantaggio da questi dati. Abbiamo anche creato un’apposita interfaccia utente per consentire a tutti di dare il proprio contributo.
queste le parole di Kate Catlin, senior product manager di GitHub.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.
