Buzz
Phần mềm mã nguồn mở có tiềm năng rất lớn để an toàn. Khác với mã nguồn độc quyền chỉ có thể được truy cập trực tiếp bởi các nhà phát triển của nó, bất kỳ ai cũng có thể kiểm tra các dự án mã nguồn mở để phát hiện lỗ hổng và lỗi. Tuy nhiên, trong thực tế, việc mã nguồn mở không phải lúc nào cũng là giải pháp tốt nhất. Bây giờ, kho mã nguồn GitHub đang triển khai các công cụ mới cho bộ công cụ GitHub Advanced Security của mình, giúp dễ dàng phát hiện các lỗ hổng trong các dự án mã nguồn mở được quản lý trên nền tảng của nó.
Mã nguồn mở đặt ra một số thách thức về bảo mật. Trong thực tế, không phải lúc nào cũng có đủ người có chuyên môn phù hợp xem xét nó. Và các dự án mã nguồn mở thông thường là không chính thức; chúng không nhất thiết có một quy trình rõ ràng để người dùng gửi các lỗ hổng, hoặc tài nguyên để ai đó vá chúng. Ngay cả khi vượt qua những rào cản đó, bạn có thể không biết ai thực sự đang sử dụng mã nguồn mở của bạn và cần một bản vá.
"Nhiều điều chúng ta nói về là có một lỗ hổng, quy trình làm việc với lỗ hổng đó là gì, sau đó nó được giải quyết," nói Jamie Cool, phó chủ tịch sản phẩm cho bảo mật của GitHub, thuộc Microsoft. "Nhưng ước mơ của chúng ta là bạn không bao giờ đưa ra lỗ hổng từ đầu. Bạn ngăn chặn nó không bao giờ xuất hiện. Có vẻ như đây là một vấn đề chúng ta nên có thể giúp các nhà phát triển không tái xuất hiện lỗi này lần nữa, nhưng cho đến nay, ngành công nghiệp phần mềm vẫn chưa thành công trong việc đó."
Vào tháng 9, GitHub mua công cụ quét mã nguồn Semmle như một phần của kế hoạch để giúp cộng đồng GitHub tự động phát hiện các lỗ hổng bảo mật thông thường. Advanced Security bao gồm dịch vụ này, nhấn mạnh dòng mã chứa lỗ hổng tiềm ẩn, lý do tại sao nó có thể bị lợi dụng và cách khắc phục. Ngoài quét tự động này, công nghệ của Semmle cũng có thể được sử dụng thủ công bởi các nhà nghiên cứu bảo mật. Mục tiêu của GitHub là sử dụng Advanced Security như một hệ thống cảnh báo cho các nhà phát triển và một khung công cụ tích hợp để các thợ săn lỗi tìm và báo cáo vấn đề bổ sung.
GitHub Advanced Security cũng bao gồm các công cụ quét 'kho lưu trữ' của người dùng, về cơ bản là thư mục nơi họ lưu trữ các dự án phát triển của mình, để tìm dữ liệu bí mật như mật khẩu và khóa riêng tư không nên tiết lộ và truy cập. GitHub hợp tác với nhiều đối tác, bao gồm Amazon Web Services và Alibaba, để hiểu các đặc điểm của token xác thực của họ và tự động nhận diện chúng. Tính năng này đã sẵn có cho các kho lưu trữ công cộng trong vài năm, nhưng hôm nay, GitHub cũng thêm hỗ trợ quét cho các kho lưu trữ riêng. GitHub cho biết tám phần trăm các kho lưu trữ công cộng hoạt động đã tiết lộ một bí mật trong chúng trong tháng qua.
Với những công cụ mới này, GitHub đang làm việc để giải quyết các vấn đề bảo mật với quy mô rộng lớn. Mặc dù không phải tất cả các dự án mã nguồn mở đều phụ thuộc vào GitHub, nhưng đa số làm vậy và nền tảng này cũng là một mạng xã hội cho cộng đồng cũng như một công cụ phát triển. Bằng cách cung cấp các tính năng như Advanced Security, GitHub có thể tạo ra môi trường mà nhiều dự án trong cảnh quan đa dạng của mã nguồn mở có quyền truy cập vào cùng loại công cụ mà các công ty lớn xây dựng để cải thiện và bảo vệ mã nguồn độc quyền của họ.
"Sự thật là đối với hầu hết người duy trì, họ trở thành người duy trì ngẫu nhiên," giám đốc điều hành GitHub Nat Friedman nói. "Họ tạo ra một cái gì đó, nó trở nên rộng rãi sử dụng và đột ngột họ đứng ở vị trí này có trách nhiệm với an ninh máy tính—có thể cho ngân hàng, cho chính phủ. Họ có thể không có nền tảng về an ninh và tuy nhiên chúng ta phải đảm bảo rằng mã họ xuất bản là an toàn. Vì vậy, thách thức là làm cho nó tự động và tự nhiên."
Mặc dù việc phát hiện ra nhiều lỗ hổng bảo mật hơn trên các dự án GitHub rất quan trọng, tính kết nối của phần mềm ngày nay vẫn tạo ra những thách thức về an ninh. Thay vì viết từng chức năng và thành phần từ đầu, gần như mọi sản phẩm phần mềm đều chứa một sự kết hợp giữa mã nguồn độc quyền và các thành phần mã nguồn mở. Đồng hồ theo dõi sức khỏe của bạn, điện thoại thông minh, chưa kể đến chiếc ô tô, tất cả đều chứa các yếu tố mã nguồn mở từ nhiều dự án phát triển khác nhau bên cạnh phần cứng và phần mềm được tạo ra bởi các thương hiệu nổi tiếng.
Báo cáo về các lỗ hổng bảo mật và đưa các bản vá phù hợp vào đúng vị trí vẫn là vấn đề lớn, do sự phụ thuộc này. Vào tháng 11, GitHub đã ra mắt một sáng kiến mang tên Security Lab nhằm giúp cộng đồng theo dõi lỗi dễ dàng hơn và tự động hóa nhiều hơn quá trình vá lỗi.
Trong khi GitHub đang có ảnh hưởng lớn đối với cách cộng đồng mã nguồn mở xử lý vấn đề bảo mật, Chris Wysopal, giám đốc công nghệ của công ty kiểm định phần mềm Veracode, chỉ ra rằng tiến triển mà GitHub đang làm không giải phóng ngành công nghiệp khỏi trách nhiệm.
"Điều về GitHub là nó gốc rất mở, vì vậy điều gì đó để cải thiện cảnh quan của mã nguồn mở không nhất thiết phải được thực hiện bởi GitHub," Wysopal nói. "Không có gì ngăn cản một bên thứ ba quét tất cả các kho lưu trữ GitHub, tìm kiếm các lỗ hổng bảo mật và gửi thông tin đến những người duy trì dự án đó."
Điều đó sẽ tốn rất nhiều tài nguyên. GitHub tự cho biết việc cung cấp các công cụ quét lỗ hổng và phân tích miễn phí trong Advanced Security đã tốn hàng triệu đô la. Tuy nhiên, công ty hy vọng rằng đầu tư của chính mình có thể trở thành một mô hình cho việc tại sao ưu tiên bảo mật trong mã nguồn mở là điều cần thiết.
Những Câu Chuyện Tuyệt Vời Nổi Tiếng trên Mytour
- Sự suy sụp đáng tiếc của một lập trình viên trẻ tài năng
- Zoom không phải là lựa chọn của bạn? Hãy thử khám phá một thế giới ảo
- Các cuộc biểu tình phản đối cách ly không liên quan đến Covid-19
- Làm thế nào để che dấu dấu vết mỗi khi bạn lướt web
- 26 giờ trên một chuyến tàu hàng Sahara
- 👁 Trí tuệ nhân tạo khám phá ra một phương pháp điều trị tiềm năng cho Covid-19. Ngoài ra: Nhận tin tức AI mới nhất
- 🎧 Âm thanh không ổn? Hãy xem các tai nghe không dây, thanh âm và loa Bluetooth ưa thích của chúng tôi
