GitHub lanceert Security Lab voor open source-beveiliging

Stay tuned, abonneer!

GitHub heeft besloten zich meer te gaan focussen op security, door een reeks nieuwe producten in deze markt te lanceren. Eén daarvan is Security Lab, waarbij security-onderzoekers, -onderhouders en -bedrijven die geloven dat “de security van open source voor iedereen belangrijk is” samen worden gebracht. 

Het nieuwe Security Lab heeft bij de lancering al diverse partners, schrijft Silicon Angle. Het gaat om Google, HackerOne, de Mozilla Foundation, Oracle, VMware, Uber Technology, LinkedIn, Microsoft en de NCC Group.

GitHub zelf gaat als onderdeel van het product tools, resources, bounties en duizenden uren aan security-onderzoek delen.

Eén van de producten die gratis beschikbaar wordt, is CodeQL. CodeQL is een analyse-platform voor code dat security-onderzoekers gebruiken om variantenanalyses te automatiseren. Met het platform kunnen kwetsbaarheden in open source-code gevonden worden. GitHub gebruikt CodeQL nu ook al zelf en vond daarmee al ruim honderd gemelde veelvoorkomende kwetsbaarheden in een aantal van de populairste open source-projecten.

Security Advisories

GitHub lanceerde niet alleen Security Lab, maar ook het aanvullende Security Advisories. Deze dienst laat onderhouders van code in een privéruimte samen met onderzoekers werken aan oplossingen voor security-problemen. Ook is het mogelijk om direct een CVE-code vanuit GitHub aan te vragen en gestructureerde details over de kwetsbaarheid te specificeren.

Zodra een security advisory gepubliceerd wordt, verstuurt GitHub bovendien security-meldingen naar alle getroffen projecten. Zo is iedereen direct op de hoogte van de kwetsbaarheid.

Verder werd de Advisory Database aangekondigd. Dit is een openbare database van advisories die GitHub gemaakt heeft. Hierin staat ook aanvullende data die verzameld en toegewezen zijn aan packages die gevolgd worden in de GitHub dependency graph.

Mobiele app

GitHub deed zijn aankondigingen tijdens zijn jaarlijkse Universe-conferentie voor ontwikkelaars. Daar kondigde het eerder deze week ook al een mobiele applicatie voor iOS en iPads aan, waarmee gebruikers notificaties kunnen ontvangen en pull requests samen kunnen voegen. Ook is het mogelijk om code toe te voegen aan repositories en nieuwe problemen te melden.

Momenteel is er alleen een app voor Apple-apparaten. Begin 2020 moet er ook een app voor Android beschikbaar worden.