امنیت پیشرفته GitHub به شناسایی خودکار مشکلات امنیتی احتمالی در بزرگترین پلت فرم منبع باز جهان کمک می کند.
نرم افزار منبع باز این پتانسیل را دارد که بسیار امن باشد. برخلاف کدهای اختصاصی که فقط توسعه دهندگان خود می توانند مستقیماً به آن دسترسی داشته باشند، هر کسی می تواند پروژه های منبع باز را بررسی کند تا نقص ها و اشکالات را شناسایی کند. با این حال، در عمل، منبع باز بودن نسخه شفا بخش قطعی برای این مسئله نیست. اکنون، مخزن کد GitHub ابزارهای جدیدی را برای مجموعه امنیتی پیشرفته GitHub خود ارائه می دهد که ریشه یابی آسیب پذیری های پروژه های منبع باز مدیریت شده بر روی پلت فرم آن را آسان تر می کند.
کد منبع باز چند چالش امنیتی را به همراه دارد. در عمل همیشه افراد کافی با تخصص مناسب به آن نگاه نمی کنند. و پروژه های منبع باز عموماً موقتی هستند. آنها لزوماً فرآیند روشنی برای ارسال آسیبپذیریها یا منابع موجود برای شخصی برای اصلاح آنها ندارند. حتی اگر بر این موانع غلبه کنید، ممکن است ندانید چه کسی واقعاً از کد منبع باز شما استفاده می کند و به یک پچ (بسته به روزرسانی) نیاز دارد.
جیمی کول، معاون امنیت محصولات GitHub متعلق به مایکروسافت، میگوید: «بسیاری از چیزهایی که ما در مورد آن صحبت میکنیم این است که یک آسیبپذیری وجود دارد، جریان کاری برای آن آسیبپذیری چیست، اکنون به آن رسیدگی میشود. "اما نیروانا ((در بودیسم) حالتی متعالی که در آن نه رنج، میل و نه احساس خود وجود دارد و سوژه از تأثیرات کارما و چرخه مرگ و تولد دوباره رها می شود. این نشان دهنده هدف نهایی بودیسم است)این است که شما برای شروع آسیبپذیری را معرفی نمیکنید. شما مانع از نمایش آن میشوید. واقعاً به نظر میرسد که این مشکلی است که ما باید بتوانیم به توسعهدهندگان کمک کنیم تا بارها و بارها معرفی نکنند، اما به طور کلی ما هنوز به عنوان یک صنعت نرم افزاری در این زمینه موفق نبوده ایم.
در ماه سپتامبر، GitHub ابزار اسکن کد Semmle را به عنوان بخشی از طرحی برای کمک به جامعه GitHub در یافتن خودکار نقص های امنیتی رایج خریداری کرد. Advanced Security شامل این سرویس میشود، که میگوید کدام خط کد حاوی آسیبپذیری بالقوه است، چرا ممکن است قابل سو استفاده باشد و چگونه آن را برطرف کنیم. علاوه بر این اسکن خودکار، فناوری Semmle می تواند به صورت دستی نیز توسط محققان امنیتی مورد استفاده قرار گیرد. هدف GitHub استفاده از امنیت پیشرفته به عنوان یک سیستم هشدار برای توسعه دهندگان و یک چارچوب داخلی برای جویندگان خطا برای یافتن و گزارش مشکلات امنیتی است.
GitHub Advanced Security همچنین شامل ابزارهایی است که «مخزنهای» کاربر، اساساً پوشهای را که پروژههای توسعه خود را در آن ذخیره میکنند، برای دادههای مخفی مانند رمزهای عبور و کلیدهای خصوصی که نباید در معرض دید و در دسترس قرار گیرند، اسکن میکنند. GitHub با تعدادی از شرکا از جمله خدمات وب آمازون و علی بابا کار می کند تا ویژگی های توکن های احراز هویت آنها را درک کند و آنها را به طور خودکار شناسایی کند. این ویژگی قبلاً چند سالی است که در اختیار مخازن عمومی قرار گرفته است، اما امروز GitHub همچنین پشتیبانی را برای اسکن مخازن خصوصی نیز اضافه می کند. گیت هاب می گوید که هشت درصد از مخازن عمومی فعال تنها در ماه گذشته یک راز (کلمه عبور یا کد های امنیتی) در آنها افشا شده است.
با استفاده از این ابزارهای جدید، GitHub در حال تلاش برای رسیدگی به مسائل امنیتی در مقیاس وسیع است. اگرچه همه پروژههای منبع باز به GitHub متکی نیستند، اکثریت این کار را انجام میدهند و این پلتفرم به اندازه یک ابزار توسعه، یک شبکه اجتماعی برای جامعه برنامه نویسان و توسعه دهندگان است. با ارائه ویژگی هایی مانند امنیت پیشرفته، GitHub می تواند محیطی ایجاد کند که در آن پروژه های بیشتری در چشم انداز متنوع منبع باز به همان نوع ابزارهایی که شرکت های بزرگ برای بهبود و محافظت از کد اختصاصی خود می سازند، دسترسی داشته باشند.
نات فریدمن، مدیرعامل GitHub میگوید: «حقیقت این است که برای اکثر نگهدارندهها، آنها به طور تصادفی محافظ امنیتی نرم افزار میشوند. "آنها چیزی می سازند، به طور گسترده مورد استفاده قرار می گیرد و سپس ناگهان در این موقعیت مسئولیت در رابطه با امنیت رایانه به عهده آنها قرار می گیرن - شاید حتی در رابطه با بانک ها یا دولت ها. آنها ممکن است سابقه ای در زمینه امنیت نداشته باشند و با این حال ما باید مطمئن شویم که کدی که منتشر میکنند امن است. بنابراین چالش این است که آن را خودکار و طبیعی کنیم.»
اگرچه یافتن نقصهای امنیتی بیشتر در پروژههای GitHub بسیار مهم است، اما ماهیت به هم پیوسته نرمافزار امروزه همچنان چالشهای امنیتی را ایجاد میکند. به جای نوشتن هر تابع و مؤلفه از ابتدا، تقریباً هر محصول نرم افزاری حاوی ترکیبی از کدهای اختصاصی و مؤلفه های منبع باز است. ردیاب تناسب اندام و تلفن هوشمند شما، به غیر از ماشین شما، همگی حاوی عناصر منبع باز پروژه های توسعه دهندگان متعدد علاوه بر سخت افزار و نرم افزار ایجاد شده توسط نام های تجاری هستند.
گزارش آسیبپذیریها و دریافت پچ (بسته های به روز رسانی) مناسب در مکانهای مناسب، به دلیل این وابستگیهای متقابل، هنوز مشکلات برجستهای هستند. در ماه نوامبر، GitHub ابتکاری به نام Security Lab را راهاندازی کرد تا به جامعه کمک کند تا باگها را راحتتر ردیابی کند و بیشتر فرآیند توضیع پچ را خودکار کند.
در حالی که GitHub در موقعیتی است که می تواند تأثیر زیادی بر نحوه مدیریت امنیت جامعه منبع باز بگذارد، کریس وایسوپال، مدیر ارشد فناوری شرکت حسابرسی نرم افزار Veracode، اشاره می کند که پیشرفت GitHub به این صنعت اجازه نمی دهد به طور کامل از این معضل و طعمه های موجود بر سر راه توسعه دهندگان رهایی یابیم.
وایسوپال میگوید: «نکته در مورد GitHub این است که ذاتاً باز است، بنابراین کاری برای بهبود چشمانداز منبع باز نباید توسط GitHub انجام شود. هیچ چیز مانع از اسکن شخص ثالث از مخازن GitHub، جستجوی آسیبپذیریها و ارسال اطلاعات به افراد غیر مرتبط و سواستفاده از پروژه نمیشود.»
این به منابع زیادی نیاز دارد. خود گیت هاب می گوید که برای ارائه ابزارهای اسکن و تجزیه و تحلیل آسیب پذیری رایگان در امنیت پیشرفته به میلیون ها دلار هزینه نیاز دارد. با این حال، این شرکت امیدوار است که سرمایهگذاری خود بتواند به عنوان الگویی برای اولویت دادن به امنیت در منبع باز باشد.
منبع:wired.com
نظرات