Il GitHub Advisory Database apre ai contributi della community
GitHub ha annunciato che l’Advisory Database per la sicurezza dei dati è ora aperto a tutti coloro che vorranno contribuire attivamente.
Per capire come si è arrivati a questa decisione facciamo un passo indietro e cerchiamo di capire come si è mossa GitHub in questi ultimi 2 anni per efficientare la sicurezza del codice open source.
GitHub Security Lab
Per chi non lo sapesse, il GitHub Advisory Database altro non è che un database completamente aperto che raccoglie le CVE che affliggono il software open source. Come è nato? Dopo l’acquisizione da parte di Microsoft, è stato lanciato il GitHub Security Lab, con l’obiettivo di proteggere i progetti open source. Il GitHub Security Lab riunisce ricercatori di sicurezza di organizzazioni partner come Google, Microsoft, Mozilla, Oracle, Uber e HackerOne.
Per lavorare con i manutentori in uno spazio privato, GitHub ha anche lanciato i Security Advisories. Una volta completati, gli avvisi di sicurezza vengono inviati al progetto interessato e registrati nel GitHub Advisory Database e nell’API SecurityAdvisory. Il GitHub Advisory Database è dunque un enorme raccolta di vulnerabilità e consente agli sviluppatori di cercare problemi noti che influiscono anche sui propri progetti.
GitHub Advisory Database: serve il contributo di tutti
La mossa si inserisce in una già ampia spinta industriale che ha l’obiettivo di proteggere la supply-chain del software. Di recente si è tenuto un vertice sulla sicurezza ospitato dalla Casa Bianca che ha cercato di affrontare tema. L’obiettivo è trovare il modo migliore per affrontare i difetti nel software open, tema molto sentito soprattutto dopo la recente scoperta della vulnerabilità Log4j.
Gli obiettivi dichiarati da GitHub sono 3:
- Fornire un repository free e open source di avvisi di sicurezza
- Consentire alla community di accedere a questi avvisi, facendoli propri e imparando in modo da evitare che vengano ripetuti
- Far nascere uno standard che permetta di affrontare in modo deciso ed efficiente le vulnerabilità
Considerando la quantità di vulnerabilità e i nuovi vettori di attacco che emergono quotidianamente, l’azienda ritiene che in questo modo i membri della sua comunità possano condividere al meglio ulteriori approfondimenti e informazioni sulle varie CVE. Tutti gli avvisi riconosciuti da GitHub sono archiviati come singoli file in questo repository. Sono formattati nel formato Open Source Vulnerability (OSV).
GitHub ritiene che permettere a tutti di accedere a queste informazioni sia fondamentale per consentire al settore nel suo insieme di proteggere al meglio il software. GitHub sta pubblicando l’intero contenuto dell’Advisory Database per permettere alla community di trarre un vantaggio da questi dati. Abbiamo anche creato un’apposita interfaccia utente per consentire a tutti di dare il proprio contributo.
queste le parole di Kate Catlin, senior product manager di GitHub.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.
Fonte: https://www.lffl.org/2022/02/github-advisory-database.html
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.