GitHub CSO, geliştiriciler için daha fazla güvenlik aracı ve özellik vaat ediyor

Yazılım geliştirme platformu GitHub, yazılım tedarik zincirinin güvenliğini sağlama çabalarının bir parçası olarak eski Cisco yöneticisi Mike Hanley'i ilk güvenlik sorumlusu olarak adlandırdı.

GitHub CSO, geliştiriciler için daha fazla güvenlik aracı ve özellik vaat ediyor

Yazılım geliştirme platformu GitHub, yazılım tedarik zincirinin güvenliğini sağlama çabalarının bir parçası olarak eski Cisco yöneticisi Mike Hanley'i ilk güvenlik sorumlusu olarak adlandırdı.

Bir GitHub sözcüsü VentureBeat'e "GitHub, geliştiricilerin güvenli yazılım oluşturmalarına yardımcı olmada her zaman öncü olmuştur - hata ödüllerinin erken benimsenmesinden Dependabot ve Semmle'ın satın alınmasına, Güvenlik Laboratuvarı'nın lansmanına ve daha fazlasına kadar." "Mike'ı CSO olarak işe almak, hem GitHub içinde hem de platformdaki geliştiriciler için güvenliği sağlamaya devam etmenin bir sonraki doğal adımıdır."

GitHub'ın ilk CSO'su olan Hanley, şirketin geliştiricilerin güvenlik açıklarını bulup düzeltmesine ve proje havuzlarını kötü niyetli kişilerden koruyan daha fazla güvenlik özelliği sunmasına yardımcı olmak için daha güvenli kodlama araçlarına yatırım yapacağına söz verdi.

Hanley, VentureBeat'e "Dünyanın gelişiminin çoğu GitHub'da gerçekleşiyor ki, güvenlik bizim için sadece bir fırsat değil, aynı zamanda bir sorumluluktur" dedi.

Daha iyi güvenlik araçları

Microsoft'un 2018'de 7,5 milyar dolara satın aldığı GitHub, yakın zamanda geliştiricilerin "sola kaymasına" veya geliştirme döngüsünün başlarında güvenlik açıklarını tespit edip düzeltmelerine yardımcı olacak çeşitli özellikler sundu. Gizli tarama , şifreleme anahtarları, erişim belirteçleri ve Git deposuna eklenen parolalar gibi hassas bilgileri arar. Bu sırlar bulunduktan sonra, birisi onları kötü amaçla kullanmaya çalışmadan önce iptal edilir. CodeQL analiz motoru tarafından desteklenen kod taraması , kod tabanındaki güvenlik açıklarını arar. Geliştiriciler daha sonra bu sorunları gidermek için bilgi alır. Bağımlılık incelemesi, projenin üçüncü taraf kitaplıklarının ve bileşenlerinin savunmasız sürümlerini kullanıp kullanmadığını kontrol eder ve daha yeni sürümler hakkında bilgi sağlar.

"Geliştiricileri, bir güvenlik açığının üretim koduna kaçmasını önlemeye yardımcı olabilecek kod tarama gibi özelliklerle donatmak, keşfedilen güvenlik açıklarının çöküşünü yönetmek için büyük etkilerin önlenmesine yardımcı olabilir - çoğu durumda, sevk edildikten yıllar sonra," Hanley dedim.

Şirket ayrıca, geliştiricileri parolalara güvenmek yerine erişim belirteçleri ve biyometri gibi kimlik doğrulama yöntemlerini benimsemeye teşvik etmek için geçen yıl şifresiz kimlik doğrulamayı da tanıttı. Bu alternatif yöntemler, yetkisiz kişilerin parolaları çalma veya tahmin etme ve yazılım koduna erişme olasılığını azaltır.

Hanley, "Geliştiricilerin benimsemeleri ve kullanmaları kolay olan güvenlik teknolojilerine yatırım yapmaya devam etmek, hepsi de bildikleri ve sevdikleri yerel deneyim dahilinde, topluluk genelinde genel güvenlik duruşunu yükseltir" dedi.

Eski güvenlik başkan yardımcısı Shawn Davenport, Hanley'in "inanılmaz bir temel" olarak adlandırdığı bu ilk çabaların çoğuna liderlik etti.

Çıtayı yükseltmek

GitHub, platformda 56 milyondan fazla geliştiriciye sahip olduğunu ve yukarı akış bağımlılıkları aracılığıyla "çok daha fazlasını" desteklediğini iddia ediyor. Bu nedenle, geliştirici hesaplarının yetkisiz erişimden korunduğundan emin olmak GitHub'ın çıkarınadır çünkü birisi giriş kimlik bilgilerini tahmin etmiş veya çalmıştır. Uber , 2017'de milyonlarca sürücünün ve sürücünün kişisel verilerini açığa çıkaran büyük bir veri ihlalini duyurdu . Yetkisiz aktörlerin, çok faktörlü kimlik doğrulama açılmadığı için Uber'in GitHub hesabına erişebildiği ortaya çıktı.

Birçok şirket, dahili uygulamaları için kaynak kodunu, geliştiricilerin güvendiği birçok üçüncü taraf bileşeni ve açık kaynak kitaplıklarını da barındıran GitHub'da barındırır. GitHub, depolarda açık kimlik bilgileri veya savunmasız kod olmadığından emin olarak bu kuruluşları koruyabilir. Aynı Uber ihlalinde, yetkisiz aktörler, kod tabanı içinde Uber'in AWS anahtarlarını keşfettikleri için kullanıcı verilerini içeren Uber'in Amazon Web Services örneğine erişebildiler.

Geçen yıl şirket , geliştiricilerin ve araştırmacıların kritik açık kaynak projelerindeki güvenlik açıklarını bulmalarına ve bildirmelerine yardımcı olan bir ödül programı olan Security Lab'ı duyurdu . Hanley, dünyanın en büyük açık kaynaklı proje koleksiyonlarından birinin ev sahibi olarak, "geliştirici topluluğunu bu araçlarla büyük ölçekte güçlendirmek için dikkate değer derecede benzersiz bir konumda" dedi Hanley.

Cisco'nun eski baş bilgi güvenliği sorumlusu olan Hanley, çalışanları ve sistemleri koruma ve uygulamaları oluşturma ve güvenlik altına alma dahil ağ oluşturma devinin dahili güvenlik programına odaklandı. Deneyim ona, yazılım güvenliğinden ödün vermeden uygulama geliştirirken hızlı hareket etmenin mümkün olduğunu gösterdi.

Hanley, bir şirket blog gönderisinde , "[İyi] güvenlik ve işin hızı, düşünceli tasarım ve müşteri odaklı bir yaklaşımla karşılaşıldığında kavramlara zıt değildir," diye yazdı . "Güvenliğin iyi yapıldığının, her zamankinden daha ileri, daha hızlı ve daha güvenli bir şekilde gitmemizi sağladığına inanıyorum."

tepkiniz nedir?

like
0
dislike
0
love
0
funny
0
angry
0
sad
0
wow
0