Durante l'ultima edizione del GitHub Universe, l’evento annuale dell’azienda di San Francisco in cui vengono presentate le nuove funzionalità della piattaforma, è stato presentato il nuovo GitHub Security Lab, una soluzione pensata per mettere in contatto le aziende, i ricercatori di sicurezza e gli sviluppatori dei progetti open source.
Jamie Cool, Vice President Of Product Management e Security di GitHub, ha presentato la nuova iniziativa con un intervento dedicato sul blog ufficiale della società:
Tutti condividiamo la responsabilità collettiva di mantenere il software open source sicuro, nessuno di noi può farlo da solo. Oggi, durante il Github Universe, abbiamo presentato al pubblico il nuovo GitHub Security Lab, un servizio pensato per riunire i ricercatori, i mantanier e le imprese di sicurezza informatica in un unica piattaforma.
Tramite GitHub Security Lab l'azienda guidata da Microsoft ha intenzione di contribuire attivamente, mettendo a disposizione strumenti e risorse, alla sicurezza dell'ecosistema open source. L'iniziativa ha raccolto il consenso di numerosi partner come ad esempio: Mozilla, Google, intel ed Oracle.
CodeQL
Oltre a GitHub Security Lab è stato reso disponibile anche il tool chiamato CodeQL. Si tratta di uno strumento pensato per scovare vulnerabilità nel codice open source.
CodeQL viene comunemente usato dalle aziende di sicurezza per individuare problematiche di sicurezza a carico degli applicativi utilizzati. Lo stesso team di Github l'ha sfruttato per individuare ben 100 CVE (Common Vulnerabilities and Exposures) all'interno di vari progetti open source.
GitHub Advisory Database
E' stato poi inaugurato il nuovo GitHub Advisory Database, un database dedicato alla raccolta degli avvisi di sicurezza. Al suo interno le vulnerabilità saranno tracciate e mappate, tramite il GitHub dependency graph, in modo da dare ai ricercatori una visione completa dell'entità della falla.
L'approccio di GitHub è dunque volto a creare un "security lifecycle" del mondo open source. Aiutando non solo a scovare nuovi bug di sicurezza ma anche, e soprattutto, a correggerli nel più breve tempo possibile tramite una piattaforma dedicata.
Via GitHub Blog