O GitHub anunciou que seu banco de dados consultivo para dados de segurança agora está aberto a contribuições de especialistas. Segundo a gerente sênior de produtos do GitHub, Kate Catlin, a empresa possui equipes de pesquisadores de segurança. Essas equipes analisam todas as alterações e ajudam a manter os avisos de segurança atualizados. Porém, com a quantidade de novas vulnerabilidades e diferentes vetores de ataque surgindo a cada dia, a empresa acredita que os membros de sua comunidade podem compartilhar insights e informações adicionais sobre CVEs.
O GitHub está publicando o conteúdo completo do Advisory Database para tornar mais fácil para a comunidade se beneficiar desses dados. Também criamos uma interface de usuário para fazer contribuições… Os dados são licenciados sob uma licença Creative Commons e têm desde o início do banco de dados, tornando-o para sempre gratuito e utilizável pela comunidade, disse Catlin.
O GitHub Advisory Database é o maior banco de dados de vulnerabilidades em dependências de software do mundo. Ele é mantido por uma equipe dedicada de curadores em tempo integral e potencializa a experiência de auditoria de segurança para npm e NuGet, bem como os próprios alertas Dependabot do GitHub tornando mais fácil contribuir e consumir, esperamos que proporcione ainda mais experiências e ajude ainda mais a melhorar a segurança de todos os softwares.
GitHub cria banco de dados consultivo de segurança cibernética e pede contribuições
O GitHub criou um fluxo de trabalho “sugerir melhorias para esta vulnerabilidade” em avisos de segurança no banco de dados. Isso permite que pesquisadores do GitHub Security Lab e o mantenedor do projeto que registrou o CVE analisem sua solicitação.
O formulário permite sugerir alterações ou fornecer mais contexto sobre pacotes, versões afetadas, ecossistemas afetados e muito mais.
Catlin acrescentou que os avisos no repositório do GitHub Advisory Database usarão o formato Open Source Vulnerabilities (OSV). Oliver Chang, engenheiro de software da equipe de segurança de código aberto do Google, disse que, para que o gerenciamento de vulnerabilidades em código aberto seja dimensionado, os avisos de segurança “precisam ser amplamente acessíveis e facilmente contribuídos por todos”.
“OSV fornece essa capacidade”, disse Chang.
Autenticação de dois fatores
O GitHub pressionou repetidamente seus usuários para habilitar a autenticação de dois fatores no ano passado. Então, em agosto, anunciou que deixaria de aceitar senhas de contas ao autenticar operações do Git. A plataforma começou a exigir que as pessoas usassem fatores de autenticação mais fortes, como tokens de acesso pessoal, chaves SSH e tokens de instalação do aplicativo OAuth ou GitHub para todas as operações Git autenticadas no GitHub.com.
Em janeiro, o GitHub anunciou que a autenticação de dois fatores estará disponível para todos os usuários por meio do GitHub Mobile.
Via ZDNet