GitHub выпускает закрытые отчеты об уязвимостях и информацию о происхождении пакетов npm

Две новые функции означают, что у исследователей и специалистов по сопровождению есть частный канал для совместной работы, чтобы сообщать и исправлять уязвимости в общедоступных репозиториях, а разработчики npm могут публиковать информацию о происхождении вместе со своими пакетами, чтобы у потребителей был проверенный способ связать пакет обратно с его исходным репозиторием и инструкциями по сборке.

С момента публичного бета-тестирования частных отчетов об уязвимостях в ноябре прошлого года специалисты по сопровождению из более чем 30 000 организаций включили частные отчеты об уязвимостях в более чем 180 000 репозиториев и получили более тысячи заявок от исследователей. Благодаря этому включению и отзывам сообщества GitHub также внес ряд улучшений функций, включая поддержку нескольких репозиториев, новые типы кредитов и улучшенные рабочие процессы интеграции и автоматизации.

«Одной из самых больших проблем для исследователя было установление первоначального контакта с целью раскрытия уязвимости сопровождающему. Частные отчеты об уязвимостях — это огромный шаг вперед», — сказал старший исследователь безопасности открытого исходного кода Open Source Security Foundation и посол безопасности GitHub Джонатан Лейтшу.

Улучшения для общей доступности частных отчетов об уязвимостях включают:

• Включить в масштабе: во время общедоступной бета-версии частные отчеты об уязвимостях можно было включить только для отдельных репозиториев. Теперь сопровождающие могут включить частные отчеты об уязвимостях для всех репозиториев в своей организации.

• Несколько типов кредитов: сопровождающие могут выбирать, как кредитовать тех, кто находит и вносит свой вклад в устранение уязвимостей и исправление.

• Интеграция и автоматизация. Новый API рекомендаций по безопасности репозитория поддерживает несколько новых рабочих процессов интеграции и автоматизации.

• Интеграция со сторонними системами: специалисты по обслуживанию могут передавать частные отчеты об уязвимостях из GitHub в сторонние системы управления уязвимостями.

  • Автоматическая отправка: Исследователи безопасности также могут использовать API для программного открытия частного отчета об уязвимостях в нескольких репозиториях, что позволяет сэкономить время, когда пакеты имеют общую уязвимость.

  • Оповещения об уязвимостях: любой может внимательно следить за критически важными репозиториями, запланировав автоматические проверки связи для получения уведомлений о новых отчетах об уязвимостях.

Частные отчеты об уязвимостях и остальные функции безопасности GitHub, такие как Dependabot, сканирование кода и сканирование секретов, бесплатны для общедоступных репозиториев.

Кроме того, цель GitHub для экосистемы npm состоит в том, чтобы обеспечить тот же уровень прозрачности, что и с самим открытым исходным кодом, в процессе создания и публикации этого кода.

С переходом к общедоступному происхождению пакетов npm GitHub работает над рядом дополнительных улучшений:

• Принятие версии 1.0 спецификации происхождения SLSA.

• Работа с другими поставщиками облачных CI/CD для добавления поддержки подписи происхождения.

• Проверка ожидаемого исходного репозитория и фиксации.

• Новые инструменты для управления доступом между вашей средой CI/CD и реестром npm.

GitHub является одним из основателей OpenSFF и активно участвует в рабочей группе по защите репозиториев программного обеспечения с целью предоставления аналогичных возможностей другим платформам и экосистемам пакетов.