Крупнейший сервис для хостинга IT-проектов GitHub, запустивший в октябре 2017 года службу предупреждений безопасности, сообщил, что это позволило значительно снизить количество уязвимых библиотек кода на платформе.
Портал постоянно мониторит программы своих пользователей, работающих с менеджером пакетов NPM для Javascript и RubyGems для Ruby, сверяя их с базой данных общеизвестных уязвимостей информационной безопасности (CVE).
Когда в ней появляются обновления, GitHub сканирует свои хранилища и в случае обнаружения слабых мест в проектах отправляет администраторам уведомления. Это дает им возможность оперативно устранять недостатки. В ходе самой первой проверки, которую специалисты платформы запустили в ноябре, было выявлено более 4 млн уязвимостей в 500 тыс. репозиториев.
GitHub уведомил всех пользователей, у которых были найдены проблемы, и уже до 1 декабря свыше 450 тыс. дыр в коде были устранены. Разработчики либо отключали уязвимые библиотеки, либо обновляли их до безопасных версий.
По данным GitHub, сейчас почти на половину всех предупреждений пользователи реагируют в течение недели, а количество брешей, устраненных в первые семь дней, составляет около 30%. При этом в большинстве своем не откликаются на уведомления владельцы тех проектов, которые более 3 месяцев были неактивны и не оплачивались.
На наличие уязвимостей проверяются все общедоступные репозитории, а также частные хранилища, хозяева которых дали разрешение на сканирование. Их администраторам предоставляют не только общие сведения о каждой найденной дыре в коде, но и информацию об уровне серьезности угрозы и способах ее устранения. Оповещения могут приходить как через пользовательский интерфейс на сайте, так и на электронную почту.
«Однако не у всех уязвимостей есть идентификаторы CVE — многие их не имеют, даже широко известные, — замечают специалисты. — Мы продолжим совершенствовать методы поиска».
В 2018 году компания планирует добавить поддержку Python. Кроме того, в разработку системы сканирования вносят свою лепту сами веб-программисты, собирая базу уязвимостей языка PHP и подготавливая руководство по безопасности. На данный момент доступен к скачиванию собранный ими архив гарантированно надежных библиотек.