امنیت پیشرفته GitHub به شناسایی خودکار مشکلات امنیتی احتمالی در بزرگترین پلت فرم منبع باز جهان کمک می کند.

نرم افزار منبع باز این پتانسیل را دارد که بسیار امن باشد. برخلاف کدهای اختصاصی که فقط توسعه دهندگان خود می توانند مستقیماً به آن دسترسی داشته باشند، هر کسی می تواند پروژه های منبع باز را بررسی کند تا نقص ها و اشکالات را شناسایی کند. با این حال، در عمل، منبع باز بودن نسخه شفا بخش قطعی برای این مسئله نیست. اکنون، مخزن کد GitHub ابزارهای جدیدی را برای مجموعه امنیتی پیشرفته GitHub خود ارائه می دهد که ریشه یابی آسیب پذیری های پروژه های منبع باز مدیریت شده بر روی پلت فرم آن را آسان تر می کند.

کد منبع باز چند چالش امنیتی را به همراه دارد. در عمل همیشه افراد کافی با تخصص مناسب به آن نگاه نمی کنند. و پروژه های منبع باز عموماً موقتی هستند. آنها لزوماً فرآیند روشنی برای ارسال آسیب‌پذیری‌ها یا منابع موجود برای شخصی برای اصلاح آن‌ها ندارند. حتی اگر بر این موانع غلبه کنید، ممکن است ندانید چه کسی واقعاً از کد منبع باز شما استفاده می کند و به یک پچ (بسته به روزرسانی) نیاز دارد.

جیمی کول، معاون امنیت محصولات GitHub متعلق به مایکروسافت، می‌گوید: «بسیاری از چیزهایی که ما در مورد آن صحبت می‌کنیم این است که یک آسیب‌پذیری وجود دارد، جریان کاری برای آن آسیب‌پذیری چیست، اکنون به آن رسیدگی می‌شود. "اما نیروانا ((در بودیسم) حالتی متعالی که در آن نه رنج، میل و نه احساس خود وجود دارد و سوژه از تأثیرات کارما و چرخه مرگ و تولد دوباره رها می شود. این نشان دهنده هدف نهایی بودیسم است)این است که شما برای شروع آسیب‌پذیری را معرفی نمی‌کنید. شما مانع از نمایش آن می‌شوید. واقعاً به نظر می‌رسد که این مشکلی است که ما باید بتوانیم به توسعه‌دهندگان کمک کنیم تا بارها و بارها معرفی نکنند، اما به طور کلی ما هنوز به عنوان یک صنعت نرم افزاری در این زمینه موفق نبوده ایم.

در ماه سپتامبر، GitHub ابزار اسکن کد Semmle را به عنوان بخشی از طرحی برای کمک به جامعه GitHub در یافتن خودکار نقص های امنیتی رایج خریداری کرد. Advanced Security شامل این سرویس می‌شود، که می‌گوید کدام خط کد حاوی آسیب‌پذیری بالقوه است، چرا ممکن است قابل سو استفاده باشد و چگونه آن را برطرف کنیم. علاوه بر این اسکن خودکار، فناوری Semmle می تواند به صورت دستی نیز توسط محققان امنیتی مورد استفاده قرار گیرد. هدف GitHub استفاده از امنیت پیشرفته به عنوان یک سیستم هشدار برای توسعه دهندگان و یک چارچوب داخلی برای جویندگان خطا برای یافتن و گزارش مشکلات امنیتی است.

GitHub Advanced Security همچنین شامل ابزارهایی است که «مخزن‌های» کاربر، اساساً پوشه‌ای را که پروژه‌های توسعه خود را در آن ذخیره می‌کنند، برای داده‌های مخفی مانند رمزهای عبور و کلیدهای خصوصی که نباید در معرض دید و در دسترس قرار گیرند، اسکن می‌کنند. GitHub با تعدادی از شرکا از جمله خدمات وب آمازون و علی بابا کار می کند تا ویژگی های توکن های احراز هویت آنها را درک کند و آنها را به طور خودکار شناسایی کند. این ویژگی قبلاً چند سالی است که در اختیار مخازن عمومی قرار گرفته است، اما امروز GitHub همچنین پشتیبانی را برای اسکن مخازن خصوصی نیز اضافه می کند. گیت هاب می گوید که هشت درصد از مخازن عمومی فعال تنها در ماه گذشته یک راز (کلمه عبور یا کد های امنیتی) در آنها افشا شده است.

با استفاده از این ابزارهای جدید، GitHub در حال تلاش برای رسیدگی به مسائل امنیتی در مقیاس وسیع است. اگرچه همه پروژه‌های منبع باز به GitHub متکی نیستند، اکثریت این کار را انجام می‌دهند و این پلتفرم به اندازه یک ابزار توسعه، یک شبکه اجتماعی برای جامعه  برنامه نویسان و توسعه دهندگان است. با ارائه ویژگی هایی مانند امنیت پیشرفته، GitHub می تواند محیطی ایجاد کند که در آن پروژه های بیشتری در چشم انداز متنوع منبع باز به همان نوع ابزارهایی که شرکت های بزرگ برای بهبود و محافظت از کد اختصاصی خود می سازند، دسترسی داشته باشند.

نات فریدمن، مدیرعامل GitHub می‌گوید: «حقیقت این است که برای اکثر نگهدارنده‌ها، آنها به طور تصادفی محافظ امنیتی نرم افزار می‌شوند. "آنها چیزی می سازند، به طور گسترده مورد استفاده قرار می گیرد و سپس ناگهان در این موقعیت مسئولیت در رابطه با امنیت رایانه  به عهده آنها قرار می گیرن - شاید حتی در رابطه با بانک ها یا دولت ها. آنها ممکن است سابقه ای در زمینه امنیت نداشته باشند و با این حال ما باید مطمئن شویم که کدی که منتشر می‌کنند امن است. بنابراین چالش این است که آن را خودکار و طبیعی کنیم.»

اگرچه یافتن نقص‌های امنیتی بیشتر در پروژه‌های GitHub بسیار مهم است، اما ماهیت به هم پیوسته نرم‌افزار امروزه همچنان چالش‌های امنیتی را ایجاد می‌کند. به جای نوشتن هر تابع و مؤلفه از ابتدا، تقریباً هر محصول نرم افزاری حاوی ترکیبی از کدهای اختصاصی و مؤلفه های منبع باز است. ردیاب تناسب اندام و تلفن هوشمند شما، به غیر از ماشین شما، همگی حاوی عناصر منبع باز پروژه های توسعه دهندگان متعدد علاوه بر سخت افزار و نرم افزار ایجاد شده توسط نام های تجاری هستند.

گزارش آسیب‌پذیری‌ها و دریافت پچ (بسته های به روز رسانی) مناسب در مکان‌های مناسب، به دلیل این وابستگی‌های متقابل، هنوز مشکلات برجسته‌ای هستند. در ماه نوامبر، GitHub ابتکاری به نام Security Lab را راه‌اندازی کرد تا به جامعه کمک کند تا باگ‌ها را راحت‌تر ردیابی کند و بیشتر فرآیند  توضیع پچ را خودکار کند.

در حالی که GitHub در موقعیتی است که می تواند تأثیر زیادی بر نحوه مدیریت امنیت جامعه منبع باز بگذارد، کریس وایسوپال، مدیر ارشد فناوری شرکت حسابرسی نرم افزار Veracode، اشاره می کند که پیشرفت GitHub به این صنعت اجازه نمی دهد به طور کامل از این معضل و طعمه های موجود بر سر راه توسعه دهندگان رهایی یابیم.

وایسوپال می‌گوید: «نکته در مورد GitHub این است که ذاتاً باز است، بنابراین کاری برای بهبود چشم‌انداز منبع باز نباید توسط GitHub انجام شود. هیچ چیز مانع از اسکن شخص ثالث از مخازن GitHub، جستجوی آسیب‌پذیری‌ها و ارسال اطلاعات به افراد غیر مرتبط و سواستفاده از  پروژه نمی‌شود.»

این به منابع زیادی نیاز دارد. خود گیت هاب می گوید که برای ارائه ابزارهای اسکن و تجزیه و تحلیل آسیب پذیری رایگان در امنیت پیشرفته به میلیون ها دلار هزینه نیاز دارد. با این حال، این شرکت امیدوار است که سرمایه‌گذاری خود بتواند به عنوان الگویی برای اولویت دادن به امنیت در منبع باز باشد.

منبع:wired.com