GitHub, yazılım tedarik zincirini güvence altına almak için özel hata raporlaması yayınladı



GitHub, özelliğin güvenlik açıklarını rapor etmek ve düzeltmek için güvenlik araştırmacıları ve açık kaynak sağlayıcılar arasındaki işbirliğini artırmak için tasarlandığını söyledi.

Microsoft’a ait GitHub, açık kaynaklı tedarik zincirinin korunmasına yardımcı olmak için bir dizi yeni güvenlik özelliği başlattı.

Bu, topluluk üyelerinin buldukları herhangi bir güvenlik sorununu gizlice açık kaynak depolarının sahiplerine göndermelerine olanak tanıyan özel güvenlik açığı raporlarını içerir.

GitHub, bu özelliğin güvenlik açıklarını rapor etmek ve düzeltmek için güvenlik araştırmacıları ve açık kaynak sağlayıcıları arasındaki işbirliğini artırmak için tasarlandığını söyledi.

Şirketin CEO’su Thomas Dohmke, özelliğin güvenlik açığı raporlama iş akışlarına standardizasyon, verimlilik ve takdir yetkisi getirmek için tasarlandığını söyledi.

Dohmke bir blog yazısında, “Dünya açık kaynak üzerinde çalışıyor ve yazılım tedarik zinciri bugünün en büyük saldırı vektörlerinden biri” dedi. “Kodunuzla ilgili içgörüler olmadan, bağımlılıklarınızda güvenlik açıkları olduğunu asla bilemeyebilirsiniz.”

GitHub tarafından duyurulan diğer güvenlik güncellemeleri arasında Ruby programlama dili için CodeQL güvenlik açığı tarama desteği ve kurumsal kullanıcıları için iki yeni güvenlik genel bakış seçeneği yer alıyor.

GitHub bu yıl daha çok açık kaynak güvenliğine odaklanıyor. Şirket, Ocak ayında Beyaz Saray zirvesinde açık kaynaklı yazılım güvenliği alanındaki oyununu geliştirmek için planlarını paylaştı. Bu, Log4Shell kusuru gibi güvenlik açıklarının endişeleri artırmasından sonra geldi.

Ağustos ayında GitHub, yılın başlarında bir siber saldırıdan etkilenen açık kaynak kayıt defterini korumak için kod imzalama platformu Sigstore’u kullanma planlarını da paylaştı.

Sıfır gün güvenlik açıklarını depolama

Yeni özel güvenlik açığı raporlama özelliği, siber güvenlik şirketi Checkmarx’ın yazılım tedarik zinciri başkanı Tzachi Zorenshtain tarafından övüldü. Zorenshtain, güvenlik araştırmacıları ve açık kaynak sağlayıcıları arasında akıcı iletişime izin verilmesinin “genel açık kaynak ekosisteminin güvenliğini artıracağını” söyledi.

Zorenshtain, “Açık kaynak katkıda bulunanların projelerini kolay ve güvenli bir şekilde desteklemelerine izin vermek, hepimizin daha fazla güvenlik yolunda ilerleme kaydetmesine yardımcı oluyor” dedi.

ABD merkezli Endor Labs’ın kurucu ürün müdürü Jamie Scott da bu hareketi destekledi, ancak GitHub’ın bu güvenlik bilgilerini merkezileştirerek “çok sayıda güvenlik bilgisinin hakemi ve sahibi” olacağını kaydetti.

Scott, “Sıfır gün güvenlik açıklarını depolayan bir platform haline geliyorlar” dedi. “Bu, GitHub’ın bu bilgileri korumak için ciddiye alması gereken etik bir sorumluluk ve ayrıca bu verileri güvenlik araştırması ve topluluk tahkimi ve risk çözümü için kullanma fırsatı ile birlikte geliyor.”

Hafta içi her gün doğrudan gelen kutunuza bilmeniz gereken 10 şey. için kaydolun Günlük ÖzetSilikon Cumhuriyeti’nin temel bilim-teknoloji haberlerinin özeti.


Kaynak : https://www.siliconrepublic.com/enterprise/github-private-vulnerability-reporting-open-source

SMM Panel PDF Kitap indir Viski Fiyatları Geçici Mail yks pdf indir antrenmanlarla matematik 1 pdf serway fizik 1 pdf ales çıkmış sorular pdf ilahi sözleri 1984 pdf türkçe pdf minecraft premium satın al ilahi sözleri Selçuk Sport Apk İndir