GitHub以开源方式保护软件供应链,使其数据库公开贡献。软件开发平台GitHub已向社区开放其AdvisoryDatabase(咨询数据库),允许任何人提供有关安全漏洞的见解和情报,以帮助提高软件供应链的安全性。数据库的全部内容现在也将根据知识共享许可发布到一个新的、可免费访问的公共存储库中。专家表示,这种数据共享是提高软件供应链安全和解决软件相关风险的关键。安全社区受益于免费和开放的数据。数以百万计的开发人员和公司使用GitHub来构建、发布和维护软件。该公司表示,通过向社区贡献者公开其咨询数据库,安全研究人员、学者和爱好者将能够贡献、分享额外的信息和背景并从中受益,从而促进社区对安全咨询的理解和认识。“GitHub认为,免费和开放的安全数据使整个行业能够更好地保护我们的软件供应链,”该公司补充说,“GitHub的咨询数据库是世界上最大的软件依赖漏洞数据库,它简化了贡献和消费操作,我们希望它将改善体验并进一步帮助提高所有软件的安全性。”GitHub构建了一个用户界面,使贡献者可以轻松地提供他们的想法。GitHub安全实验室的研究人员将对其进行审核。贡献者可以建议更改或提供有关包、受影响的版本和受影响的生态系统的上下文,一旦他们的贡献被接受,他们将在他们的GitHub个人资料上获得公共信用。GitHub表示,针对存储库中的这些建议开发了开源漏洞(OSV)程序。“为了扩大开源漏洞管理,这些安全建议需要被所有人广泛接受和使用,”谷歌开源安全团队的软件工程师OliverChang说。“OSV提供了这种可能性。”数据共享对软件供应链安全不可或缺SaltSecurity研究副总裁YanivBalmas认为GitHub的举措是在保护开源项目和库方面向前迈出的一步。“公开报告的软件漏洞数量处于历史最高水平,并且每年都在增长。良好且一致的信息共享可能是解决此问题的最有效方法之一,”他说。由于GitHub拥有最大的开源代码集合,向社区开放咨询数据库将使软件供应商更清楚地了解他们正在使用的每个软件版本或共享库的安全状况,并帮助漏洞猎手报告和修复漏洞。“它还将有助于解决软件供应链攻击,因为它将让供应商更好地了解他们使用的每个共享软件组件及其安全状况,”巴尔马斯补充道。ESET全球网络安全顾问JakeMoore表示同意:“在过去几年中,软件供应链遭受了巨大打击,在受害者有机会做出回应之前,漏洞就在在线黑市中被突出显示并共享。”在受信任的社区内共享新发现的威胁情报将有助于可能未受到最佳保护的用户访问最新的补丁信息。
