在应对软件供应链漏洞时,研究人员、学者和业余爱好者现在不但能因为免费、开源的安全数据受益,而且还能做出贡献。
软件开发平台GitHub已将其Advisory Database(咨询数据库)在社区开放,允许任何人提供有关安全漏洞的见解和情报,来帮助提高软件供应链的安全性。该数据库的全部内容现在也将在知识共享许可协议下发布到一个新的、可免费访问的公共存储库。专家表示,这种数据共享是提高软件供应链安全性和解决软件相关风险的关键。
安全社区因免费和开放的数据受益
数以百万计的开发人员和公司使用GitHub来构建、发布和维护软件。该公司表示,通过将其Advisory Database公开给社区贡献者,安全研究人员、学者和爱好者将能够提供、分享和受益于额外的信息和背景,从而促进社区对安全咨询的理解和认识。
“GitHub认为,免费和开放的安全数据能够促进整个行业更好地保护我们的软件供应链安全,”该公司补充道,“GitHub的Advisory Database是世界上最大的软件依赖漏洞数据库,通过简化它的contribute和consume操作,我们希望它能提高体验感,并进一步帮助提高所有软件的安全性。”
GitHub 已经建立了一个用户界面,方便贡献者提供他们的想法。GitHub安全实验室的研究人员将对其进行审查。贡献者可以就软件包、受影响的版本和受影响的生态系统提出更改建议或提供上下文,一旦他们的贡献被接受,他们将在自己GitHub的个人资料上获得公共信用。GitHub表示,开源漏洞(OSV)计划就是为了这些在存储库中的建议而开展的。
“为了拓宽开源漏洞管理,这些安全建议需要被所有人广泛接受并使用,”Google开源安全团队的软件工程师Oliver Chang说,“OSV 提供了这种可能。”
软件供应链安全不可或缺的数据共享
Salt Security 研究副总裁 Yaniv Balmas认为,GitHub 的举动是在推动保护开源项目和库方面向前迈出一步。“公开报告的软件漏洞数量创历史新高,并且逐年增长。良好且一致的信息共享可能是解决此问题的最有效方法之一。”他说。
由于GitHub拥有最大数量的开源代码,因此向社区开放咨询数据库将使软件供应商能够更清楚地了解他们正在使用的每个软件版本或共享库的安全状况,并帮助漏洞猎手报告并修复程序错误。Balmas 补充道:“它还将有助于解决软件供应链攻击问题,因为它可以让供应商更清楚地了解他们使用的每个共享软件组件及其安全状况。”
ESET全球网络安全顾问Jake Moore对此表示赞同:“在过去的几年里,软件供应链遭受了巨大的打击,在受害者有机会做出回应之前,漏洞就在网络黑市中被突出显示和共享。”他补充道,在可信任的社区内共享新发现的威胁情报将有利于那些可能无法获得最佳保护的用户去访问最新的更新补丁信息。