科技巨头共同组成GitHub安全实验室

 
一些最大的科技公司已经联合起来发起了一个社区主导的GitHub计划，研究人员将在其中寻找并修复开源项目中的错误。
通过合作，安全研究人员将使用GitHub的最新开发的CodeQL工具报告开源项目中的新漏洞。该语义代码分析引擎将使用户能够像对待数据一样查询代码，以便找到所发现漏洞的所有变体，然后与更广泛的社区共享发现结果。
GitHub的安全实验室还将致力于构建工具，以更好地保护代码库，更有效地连接更广泛的安全社区，并将开发人员聚集在一起。
产品管理和安全副总裁Jamie Cool表示：“ GitHub的安全方法解决了整个开源安全生命周期。
“ GitHub安全实验室将帮助识别和报告开源软件中的漏洞，而维护者和开发人员将使用GitHub创建修复程序，协调披露并将相关项目更新为固定版本。”
该计划是F5 Networks，GitHub，Google，HackerOne，Intel，IOActive，JP Morgan，Microsoft，Mozilla，NCC Group，Okta，Trail of Bits，Uber和VMware之间的14强合作发起的。
安全实验室背后的团队将全职资源用于发现和报告漏洞，并且已经发现了100多个严重问题，足以与CVE分类一起发布。
GitHub开发的CodeQL工具也已开源，用户可以浏览大量开源代码来查找漏洞，尤其是同一漏洞的不同版本，否则可能很难跟踪。
还鼓励开发人员通过错误赏金计划做出贡献，该计划根据漏洞的严重程度和提交的查询的质量，提供最高2500美元的奖励。
GitHub的举措在本质上与近年来创建的许多其他组织相似，以应对日益增长的网络犯罪潮流，并总体上增强网络安全。
例如，微软还是网络和平研究所的创始成员，该研究所于9月与万事达卡和惠普基金会一起成立，以打击全球网络犯罪。
Mozilla，Intel和Red Hat以及其他刚刚发起的旨在使软件开发过程更加安全的计划的一部分。字节码联盟将是一个致力于创建安全软件基础的开源社区。