GitHub lanceert open source beveiliging Security Lab
GitHub gaat zich meer focussen op beveiliging, wat heeft geleidt tot Security Lab, één van de nieuwe reeks producten die het bedrijf in deze markt lanceert. Dit project focust zich vooral op opensource en de beveiliging daarvan.
Bij de lancering heeft Security Lab al diverse partners. Volgens Silicon Angle gaat het om bedrijven als Google, HackerOne, Oracle, VMware, Linkedin, NCC Group, Microsoft, de Mozilla Foundation en Uber Technology.
Zelf gaat het bedrijf duizenden uren aan beveiligings-onderzoek delen als onderdeel van Security Lab, evenals tools, resources en bounties. Eén van de producten die gratis beschikbaar wordt gesteld is CodeQL. Dit is een analyse platform voor code zodat beveiligings-onderzoekers variantenanalyses kunnen automatiseren. Zo kunnen kwetsbaarheden in open-source code gevonden worden. GitHub gebruikt CodeQL zelf nu ook en heeft meer dan honderd veelvoorkomende kwetsbaarheden kunnen vinden in verschillende populaire open source projecten.
GitHub heeft niet alleen Security Lab gelanceerd, maar ook Security Advisories. Dit is een aanvulling op Security Lab en laat onderhouders van code samen met onderzoekers werken aan een oplossing voor beveiligingsproblemen. Het is ook mogelijk om een CVE-code vanuit GitHub aan te vragen en details over de kwetsbaarheid te specificeren.
GitHub verzend bij een publicatie van een kwetsbaarheid meldingen naar alle getroffen projecten. Iedereen is dan op de hoogte hiervan en kan adequaat actie ondernemen.
De Advisory Database die daarnaast is aangekondigd is een openbare database van advisories vanuit GitHub. Hier staat alle aanvullende data in die verzameld en toegewezen zijn aan packages die kunnen worden gevolgd in de GitHub dependency graph.
Deze onthullingen zijn gedaan tijdens de jaarlijkste GitHub Universe conferentie voor ontwikkelaars. Eerder heeft het bedrijf aangekondigd een mobiele applicatie voor Apple apparaten te ontwikkelen.
