GitHub Advanced Security sẽ giúp tự động phát hiện các vấn đề bảo mật tiềm ẩn trong nền tảng mã nguồn mở lớn nhất thế giới.
PHẦN MỀM MÃ NGUỒN MỞcó tiềm năng rất an toàn. Không giống như mã độc quyền chỉ có thể được truy cập trực tiếp bởi các nhà phát triển của riêng nó, bất kỳ ai cũng có thể kiểm tra các dự án mã nguồn mở để phát hiện các lỗ hổng và lỗi. Tuy nhiên, trong thực tế, mã nguồn mở không phải là thuốc chữa bách bệnh. Giờ đây, kho lưu trữ mã GitHub đang tung ra các công cụ mới cho bộ Bảo mật nâng cao GitHub sẽ giúp bạn dễ dàng loại bỏ các lỗ hổng bảo mật trong các dự án mã nguồn mở được quản lý trên nền tảng của mình.
Mã nguồn mở có một số thách thức về bảo mật. Trong thực tế, không phải lúc nào cũng có đủ người có chuyên môn phù hợp để xem xét nó. Và các dự án mã nguồn mở nói chung là đặc biệt; họ không nhất thiết phải có một quy trình rõ ràng để mọi người gửi các lỗ hổng bảo mật hoặc các tài nguyên có sẵn để ai đó vá chúng. Ngay cả khi bạn vượt qua được những trở ngại đó, bạn có thể không biết ai đang thực sự sử dụng mã nguồn mở của bạn và cần một bản vá.
Jamie Cool, phó chủ tịch phụ trách sản phẩm bảo mật của GitHub thuộc sở hữu của Microsoft cho biết: “Rất nhiều điều chúng ta nói đến là có một lỗ hổng, quy trình xử lý lỗ hổng đó như thế nào, bây giờ nó đã được giải quyết”. “Nhưng niết bàn là bạn không giới thiệu lỗ hổng bảo mật ngay từ đầu. Bạn ngăn nó không bao giờ hiển thị. Có vẻ như đây là một vấn đề mà chúng tôi có thể giúp các nhà phát triển không giới thiệu đi giới thiệu lại, nhưng nói chung, chúng tôi vẫn chưa thành công với tư cách là một ngành công nghiệp phần mềm. “
Vào tháng 9, GitHub đã mua lại công cụ quét mã Semmle như một phần của kế hoạch giúp cộng đồng GitHub tự động bắt các lỗi bảo mật phổ biến. Bảo mật nâng cao bao gồm dịch vụ này, gọi ra dòng mã nào có lỗ hổng tiềm ẩn, tại sao nó có thể bị khai thác và cách khắc phục. Ngoài chức năng quét tự động này, công nghệ của Semmle cũng có thể được các nhà nghiên cứu bảo mật sử dụng thủ công. Mục tiêu của GitHub là sử dụng Bảo mật nâng cao vừa làm hệ thống cảnh báo cho các nhà phát triển vừa là một khuôn khổ tích hợp cho những người săn lỗi để tìm và báo cáo các vấn đề khác.
GitHub Advanced Security cũng bao gồm các công cụ quét “kho” của người dùng, về cơ bản là thư mục nơi họ lưu trữ các dự án phát triển của mình, để tìm dữ liệu bí mật như mật khẩu và khóa cá nhân không nên bị lộ và có thể truy cập được. GitHub làm việc với một số đối tác, bao gồm Amazon Web Services và Alibaba, để hiểu các đặc điểm của mã thông báo xác thực của họ và tự động phát hiện chúng. Tính năng này đã có sẵn cho các kho lưu trữ công cộng trong một vài năm, nhưng ngày nay GitHub cũng đang bổ sung hỗ trợ để quét các kho lưu trữ riêng tư. GitHub nói rằng tám phần trăm kho lưu trữ công khai đang hoạt động có một bí mật được tiết lộ trong đó chỉ trong tháng trước.
Với những công cụ mới này, GitHub đang làm việc để giải quyết các vấn đề bảo mật ở quy mô lớn. Mặc dù không phải tất cả các dự án mã nguồn mở đều dựa vào GitHub, nhưng phần lớn đều dựa vào GitHub và nền tảng này giống như một mạng xã hội dành cho cộng đồng như một công cụ phát triển. Bằng cách cung cấp các tính năng như Bảo mật nâng cao, GitHub có thể tạo ra một môi trường nơi nhiều dự án hơn trong bối cảnh đa dạng của nguồn mở có quyền truy cập vào cùng một loại công cụ mà các công ty lớn xây dựng để cải thiện và bảo vệ mã độc quyền của họ .
“Sự thật là đối với hầu hết những người bảo trì, họ trở thành người bảo trì một cách tình cờ,” Giám đốc điều hành GitHub Nat Friedman nói. “Họ tạo ra thứ gì đó, nó trở nên được sử dụng rộng rãi và sau đó đột nhiên họ có trách nhiệm liên quan đến bảo mật máy tính — có thể cho ngân hàng, cho chính phủ. Họ có thể không có kiến thức nền tảng về bảo mật và chúng tôi phải đảm bảo rằng mã mà họ xuất bản là an toàn. Vì vậy, thách thức là làm cho nó tự động và làm cho nó tự nhiên. “
Mặc dù việc phát hiện nhiều lỗi bảo mật hơn trong các dự án GitHub là rất quan trọng, nhưng bản chất kết nối với nhau của phần mềm ngày nay vẫn đặt ra những thách thức về bảo mật. Thay vì viết mọi chức năng và thành phần từ đầu, hầu như mọi sản phẩm phần mềm đều chứa sự kết hợp của mã độc quyền và các thành phần nguồn mở. Thiết bị theo dõi thể dục và điện thoại thông minh của bạn, chưa kể đến ô tô của bạn, tất cả đều chứa các yếu tố mã nguồn mở từ nhiều dự án của nhà phát triển ngoài phần cứng và phần mềm do thương hiệu tạo ra.
Báo cáo các lỗ hổng bảo mật và đưa các bản vá lỗi đến đúng vị trí vẫn là những vấn đề nổi cộm, vì những sự phụ thuộc lẫn nhau này. Vào tháng 11, GitHub đã đưa ra một sáng kiến có tên là Phòng thí nghiệm bảo mật để giúp cộng đồng theo dõi các lỗi dễ dàng hơn và tự động hóa nhiều quy trình vá lỗi hơn.
Trong khi GitHub đang ở vị trí tạo ra tác động lớn đến cách cộng đồng nguồn mở xử lý bảo mật, Chris Wysopal, giám đốc công nghệ của công ty kiểm toán phần mềm Veracode, chỉ ra rằng những tiến bộ mà GitHub đang đạt được không để phần còn lại của ngành ra khỏi móc.
Wysopal nói: “Điều về GitHub là nó vốn đã mở, vì vậy, một số thứ để cải thiện bối cảnh của nguồn mở không cần phải được thực hiện bởi GitHub. “Không có gì ngăn cản bên thứ ba quét tất cả các kho lưu trữ của GitHub, tìm kiếm các lỗ hổng và gửi thông tin đến những người duy trì dự án đó”.
Điều đó sẽ tốn rất nhiều tài nguyên. Bản thân GitHub cho biết phải tốn hàng triệu đô la để cung cấp các công cụ phân tích và quét lỗ hổng miễn phí trong Advanced Security. Tuy nhiên, công ty hy vọng rằng khoản đầu tư của chính họ có thể đóng vai trò là một mô hình lý giải tại sao họ trả tiền để ưu tiên bảo mật trong mã nguồn mở.
