GItHub Security Lab spoort bugs op in populaire open source-projecten

GitHub heeft samen met beveiligingsonderzoekers van onder meer Microsoft, Google en Intel het GitHub Security Lab opgericht. Het nieuwe community-programma genaamd Security Lab zoekt naar bugs in populaire open source-projecten.

Dat maakte GitHub donderdag bekend tijdens de GitHub Universe-ontwikkelaarsconferentie in het Amerikaanse San Francisco. Naast Microsoft, Google en Intel bevinden zich ook beveiligingsonderzoekers van organisaties als Mozilla, Oracle, Uber, VMWare, LinkedIn, J.P. Morgan, NCC Group, IOActive, F5, Trail of Bits en HackerOne onder de leden.

Meer dan 100 beveiligingsfouten

Ook andere organisaties en  individuele beveiligingsonderzoekers kunnen zich aansluiten bij het lab. Bovendien is er een bug bounty-programma beschikbaar met beloningen tot 3.000 dollar. Inmiddels zou Security Lab al meer dan 100 beveiligingsfouten hebben gevonden, gemeld en geholpen.

“De missie van GitHub Security Lab is om de wereldwijde gemeenschap voor veiligheidsonderzoek te inspireren en in staat te stellen de code van de wereld te beveiligen. Ons team zal het goede voorbeeld geven door fulltime middelen te wijden aan het vinden en rapporteren van kwetsbaarheden in kritieke open source-projecten”, aldus GitHub in een verklaring.

CodeQL

GitHub heeft bovendien de nieuwe open source tool CodeQL uitgebracht. Het is een semantische code-analyse-engine speciaal ontworpen om verschillende versies van dezelfde kwetsbaarheid te vinden in grote hoeveelheden code. Naast dat bugrapporten voortaan een CodeQL-query moeten bevatten, wordt CodeQL ook op andere plaatsen uitgerold om te helpen met kwetsbaarheidscodescans, zoals Mozilla.

GitHub is al langer bezig met het leveren van inspanningen om de algehele beveiligingsstatus van het GitHub-ecosysteem te verbeteren. Eerder dit jaar begon het bedrijf met het testen van een functie waarmee projectauteurs geautomatiseerde beveiligingsupdates konden maken. Wanneer GitHub een beveiligingslek in de afhankelijkheid van een project zou detecteren, zou GitHub de afhankelijkheid automatisch bijwerken en een nieuwe projectversie vrijgeven namens de projectbeheerder. Deze functie was het afgelopen jaar in bèta, maar vanaf heden zijn de geautomatiseerde beveiligingsupdates algemeen beschikbaar. Ze zijn uitgerold naar elke actieve repository met ingeschakelde beveiligingswaarschuwingen.

Geautoriseerde CVE-nummeringsinstantie

Daarbij is GitHub ook nog eens een geautoriseerde CVE-nummeringsinstantie (CNA) geworden. Dat betekent dat het bedrijf CVE-ID’s voor kwetsbaarheden mag uitgeven. CNA is toegevoegd aan een nieuwe servicefunctie genaamd ‘security advisories’, speciale items in Issues Tracker van een project, waar beveiligingsfouten privé worden afgehandeld. Dat stelt een projecteigenaar in staat om op het moment dat een beveiligingsfout is verholpen, de beveiliging te publiceren. GitHub waarschuwt vervolgens weer alle upstream-projecteigenaren die kwetsbare versies van de oorspronkelijke onderhoudscode gebruiken. Overigens kunnen projecteigenaren ook rechtstreeks bij GitHub een CVE-nummer voor de kwetsbaarheid van hun project aanvragen en ontvangen.

CVE-ID cruciaal

In het verleden namen veel open source-projecteigenaren niet de moeite om een CVE-nummer aan te vragen gezien het moeizame proces. Echter, het verkrijgen van CVE-ID’s is van cruciaal belang, omdat deze aanvullende details kunnen worden geïntegreerd in vele andere beveiligingshulpmiddelen, die broncode en projecten scannen op kwetsbaarheden. Organisaties worden zo in staat gesteld om kwetsbaarheden in open source-hulpmiddelen te detecteren, die ze anders zouden hebben gemist.