Відкритий вихідний код всюди; GitHub розширює інструменти безпеки, щоб допомогти захистити його

Ознайомтеся з усіма сесіями на замовлення саміту Intelligent Security Summit тут.


Прямо чи опосередковано майже всі організації залежать від програмного забезпечення, створеного спільнотою з відкритим кодом. Насправді неймовірні 97% додатків містять відкритий вихідний код, і 90% організацій кажуть, що певним чином його використовують.

І все ж, як свідчать Log4j і SolarWinds (та багато інших), відкритий вихідний код може рясніти вразливими місцями безпеки. За даними Gartner, 89% компаній стикалися з подією ризику постачальника за останні п’ять років, а Argon Security повідомляє, що кількість атак на ланцюжок поставок програмного забезпечення зросла більш ніж на 300% між 2020 і 2021 роками.

Робота спільноти з відкритим кодом «використовується майже в кожному програмному продукті, тому його безпека та захист спільноти мають великий вплив», — сказала Маріам Сулакян, старший менеджер із продуктів GitHub. «Уразливості у відкритому коді можуть мати глобальний хвилевий ефект для мільйонів людей і служб, які покладаються на нього».

Провідна служба хостингу пропонує кілька можливостей, щоб допомогти вирішити цю проблему, і сьогодні оголосила про розширення двох із них: секретні сповіщення GitHub про сканування тепер доступні безкоштовно в усіх загальнодоступних сховищах, а його функція захисту від push тепер доступна для спеціальних секретних шаблонів. Обидві можливості зараз у публічній бета-версії.

Подія

Intelligent Security Summit On-Demand

Дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та конкретних галузевих прикладах. Дивіться сеанси за запитом сьогодні.

Дивіться тут

«Як найбільша спільнота з відкритим кодом у світі, GitHub постійно працює над тим, щоб полегшити використання та внесок у відкритий код», — сказав Сулакян. «Ми роздаємо наші найсучасніші інструменти безпеки безкоштовно в загальнодоступних сховищах, щоб допомогти захистити відкритий вихідний код і захистити тих, хто його створює».

Зберігайте таємниці

Розкриті секрети та облікові дані є найпоширенішою причиною витоку даних, оскільки їх часто не відстежують. І для їх ідентифікації може знадобитися в середньому 327 днів.

«Зловмисники часто використовують витік секретів і облікових даних як відправну точку для більших атак, таких як програми-вимагачі та фішингові кампанії», — сказав Сулакян.

Крім того, GitHub співпрацює з понад 100 постачальниками послуг, щоб швидко виправляти багато розкритих секретів за допомогою партнерської програми секретного сканування.

Наприклад, у 2022 році служба хостингу виявила та сповістила про понад 1,7 мільйона розкритих секретів у публічних сховищах. Зводячи це до щоденних цифр, GitHub знаходить понад 4500 потенційних секретів, які просочуються в загальнодоступних сховищах.

Тепер GitHub надасть ці сповіщення розробникам із відкритим кодом і безкоштовно. Після ввімкнення GitHub безпосередньо сповіщає розробників про витік секретів у коді. Це дозволяє їм легко відстежувати сповіщення, визначати джерело витоку та вживати заходів. Наприклад, користувач може отримати сповіщення та відстежити виправлення витоку ключа HashiCorp Vault, розміщеного на власному хості, сказав Сулакян.

«Секретне сканування загальнодоступних сховищ допоможе мільйонам розробників уникнути випадкового розголошення своїх облікових даних і паролів», — сказала вона.

Сьогодні почалося поступове публічне розгортання бета-версії таємного сканування загальнодоступних сховищ, і ця функція має бути доступною для всіх користувачів до кінця січня 2023 року.

«Завдяки таємному скануванню ми знайшли масу важливих речей, на які потрібно звернути увагу», — сказав Девід Росс, штатний інженер безпеки Postmates. «Щодо appsec, це часто є найкращим способом для нас отримати видимість проблем у коді».

GitHub просуває безпеку вперед

Подібним чином компанії часто мають свій власний унікальний набір секретів, які вони хочуть виявити, коли їх викриють, і захистити їх до викриття, пояснив Сулакян.

За допомогою спеціальних шаблонів організації шукають паролі в рядках підключення, закритих ключах і URL-адресах, які мають вбудовані облікові дані (серед іншого) у тисячах своїх сховищ.

«Але відновлення потребує часу та значних ресурсів», — сказав Сулакян.

Щоб вирішити цю проблему, у квітні 2022 року GitHub запровадив захист від розсилки для клієнтів GitHub Advanced Security (GHAS). Ця функція має на меті завчасно запобігати витокам шляхом сканування секретів перед їх закріпленням.

За вісім місяців після випуску GitHub запобіг понад 8000 секретних витоків у 100 типах секретів, сказав Сулакян. Завдяки розширеним можливостям, про які було оголошено сьогодні, організації з GHAS мають додаткове покриття для того, що часто є їхніми найважливішими секретними шаблонами: ті, що налаштовані та визначені всередині їхніх організацій.

«Завдяки захисту від push-розсилки компанії можуть запобігти випадковому витоку найважливіших секретів», — сказав Сулакян.

Захист від надсилання для користувацьких шаблонів можна налаштувати окремо на рівні організації або сховища, пояснив Сулакян. Якщо цю можливість увімкнено, GitHub блокуватиме, коли учасники намагатимуться надіслати код, який містить збіги з визначеним шаблоном. Організації можуть вирішувати, які шаблони захищати на основі хибних спрацьовувань.

Інтеграція цієї можливості в процес розробника економить час і допомагає навчати передових практик, сказав Девід Флорі, директор з розробки програмного забезпечення Intel.

«Якщо я спробую розкрити таємницю, я одразу її дізнаюся», — сказав він.

За його словами, інструмент GitHub зупиняє його до того, як секрет буде вставлено в кодову базу; тоді як, якщо він покладався виключно на зовнішні інструменти сканування для сканування репозиторію після того, як секрет уже було розкрито, «мені потрібно буде швидко відкликати секрет і змінити свій код».

Оскільки зловмисники все частіше націлюються на витік секретів і облікових даних, клієнти GitHub інвестують більше ресурсів у захист свого дедалі складнішого ланцюга постачання програмного забезпечення, сказав Сулакян.

«Організації постійно прагнуть виявляти та виправляти вразливості на ранніх етапах життєвого циклу програмного забезпечення, щоб підвищити загальну безпеку, заощадити витрати, пов’язані з реагуванням команд appsec, і мінімізувати шкоду», — сказав Сулакян.

За її словами, GitHub допомагає групам безпеки додатків швидко виявляти та усувати вразливості в коді користувачів. Компанія розробила свої інструменти, багато з яких безкоштовні, для безпосередньої інтеграції в робочі процеси розробників, щоб забезпечити більш безпечне та швидке кодування. Нещодавно він також представив приватне звітування про вразливості, щоб допомогти організаціям легко розкривати вразливості та спілкуватися з супроводжувачами.

«Наша філософія полягає в тому, щоб зробити всі наші вдосконалені функції безпеки безкоштовно доступними в публічних сховищах», — сказав Сулакян.

Зрештою, як вона стверджувала, «як домівка для відкритих кодів і понад 94 мільйонів розробників, GitHub може покращити стан безпеки програмного забезпечення більше, ніж будь-яка інша команда чи платформа».

Місія VentureBeat має стати цифровою міською площею для тих, хто приймає технічні рішення, щоб отримати знання про трансформаційні корпоративні технології та транзакції. Відкрийте для себе наші брифінги.

Leave a Comment