GitHub może odtąd nadawać identyfikatory CVE podatnościom oprogramowania

Maciej Olanicki , 19.09.2019 r.
github

Należące do Microsoftu repozytorium GitHub ogłosiło dziś przejęcie Semmle, firmy od 2006 roku rozwijającej narzędzia do maszynowego wychwytywania błędów w kodzie. Przejęcie zostało jednak przyćmione przez inną ważną wiadomość – GitHub zyskał bowiem możliwość nadawania podatnościom oprogramowania identyfikatorów CVE.

Semmle przejęty przez GitHuba

Według zapewnień twórców silnika Semmle może on dalece zautomatyzowany sposób można analizować pod kątem bezpieczeństwa kod nawet bardzo rozbudowanych programów. Dzieje się tak, gdyż kod ma być traktowany jak zbiór danych, a wykorzystywane narzędzia opierające się na wyszukiwaniu wzorców i podobieństw, charakterystyczne są nie dla ręcznego debugowania, lecz dla analizy dużych zbiorów danych właśnie.

O tym, w jakim stopniu opis ten sporządzony został przez marketingowców Semmle, a w jakim przez zaangażowane w przedsięwzięcie osoby techniczne, będzie się mógł w przyszłości przekonać każdy użytkownik GitHub. Celem przejęcia jest, rzecz jasna, implementacja silnika lub jego elementów jako jednej z funkcji repozytorium. W rezultacie udostępniany na GitHubie stanie się ogromną bazą dla algorytmów rozwijanych przez Semmle. Będą one poszukiwać błędów w kodzie, które mogą stanowić potencjalną podatność. Następnie, na podstawie rozpoznawania wzorców i powielonych schematów, zabezpieczać kolejne repozytoria.

Zobacz też: CI/CD na GitHubie – i to za darmo dla publicznych repozytoriów

GitHub będzie mógł nadawać CVE

To jednak nie koniec nowości dotyczących bezpieczeństwa na GitHubie. Odtąd administracja największego repozytorium kodu w internecie będzie bowiem mogła nadawać podatnością identyfikatory Common Vulnerabilities and Exposures. Aktualnie na całym świecie może to robić nieco ponad 100 organizacji. Rzecz w tym, że z reguły mają one uprawnienia wyłącznie do nadawania sygnatur podatnościom własnego oprogramowania. Jedynie administratorzy największych baz, jak MITRE Corporation, mogą identyfikować błędy w oprogramowaniu innych firm, co ma później przełożenie na szybkość i skuteczność reakcji.

Nietrudno sobie wyobrazić, jak duże możliwości zyska zatem GitHub, który najpierw, między innymi za pomocą dokonań Semmle, w dalece zautomatyzowany sposób będzie odnajdywał podatności, a potem jeszcze nada im stosowne CVE. W ten sposób największe repozytorium kodu w internecie, a pośrednio przecież także Microsoft, zaczyna być bardzo ważnym graczem na arenie światowego cyberbezpieczeństwa, co przełoży się w pierwszej kolejności na oprogramowanie Open Source.

Zobacz też: Nowy GitLab 12.2: skomplikowane zależności międzyprojektowe przestają być straszne

Najnowsze oferty pracy:

Polecane wpisy na blogu IT: