GitHub发布新工具报告漏洞

对于大多数软件开发人员来说，从第三方库导入代码是向程序添加新功能的简单方法，而无需从头构建这些功能。但依赖开源库是有风险的，因为黑客经常针对它们内部的安全漏洞。

考虑到所有这些，对于任何库的用户来说，能够向项目所有者报告潜在的安全问题都是很重要的，这样就可以在这些问题被利用之前修复它们。但直到最近，在线存储库GitHub上的许多项目都缺乏让用户提交安全报告的明确方式。

滑铁卢大学助理教授说:“我认为报告是必要的第一步。Meiyappan Nagappan．但是，密歇根大学教授补充道Atul普拉卡什，“如果报告过程不简单直接，可能会阻碍或延迟安全报告。这可能会产生后果。”

在2018年的另一个项目中，Nagappan和他的团队发现很难报告一个易受攻击的Apache Struts版本2017年，开源图书馆黑客入侵了Equifax．他们试着通知其他人GitHub通过向项目所有者发送电子邮件、打开问题和提交拉请求的组合，具有相同依赖关系的项目。

但一名团队成员的GitHub账户因为打开15个问题和15个拉请求而被标记为垃圾邮件。“我们确实让(GitHub)知道这不是任何形式的自动化过程。我们手动创建问题并拉取请求，”Nagappan说。“我们对GitHub是开放的。我们告诉他们，我们是一个研究团队，这就是我们正在做的事情。”

这一经历促使该团队，其中包括Nagappan, Prakash和合作者的伊利诺伊大学厄巴纳香槟分校的研究(发表于5月23日)，以调查脆弱依赖关系的普遍性以及报告这些依赖关系的困难。他们分析了GitHub上的600个开源Java项目，发现64%(600个项目中的385个)至少使用了一个易受攻击的库。此外，只有19个项目(3%)有某种形式的报告过程。bug赏金程序、有关安全漏洞可联系的电子邮件地址或提交安全问题的web表单。

为了解决GitHub项目中缺乏标准化方法来报告安全漏洞的问题，团队建议添加security。Md文件，包含项目的联系信息和公开策略。该团队还建议支持提交pull请求或仅对项目所有者(也称为维护者)可见的问题，作为私下披露潜在安全问题的一种方式。

巧合的是，该团队的研究结果在同一天在网上公布GitHub发布了新的安全功能，其中包括安全策略而且维护者安全建议．

“开源项目通常是由一些人在业余时间做这件事，没有报酬，而且他们没有适当披露安全问题所需的支持，”他说贾斯汀钦斯GitHub的高级安全产品经理。“在许多情况下，有安全问题也会带来耻辱。我们建立了维护者安全咨询和安全政策支持来改变这一现状，因为安全问题是每个项目都必须处理的问题，但负责任的安全问题披露对于确保我们保护用户至关重要。”

[短代码ieee-pullquote quote="开源项目通常是由一些人在业余时间做这件事，没有报酬，而且他们没有适当披露安全问题所需的支持。"" Float ="left" expand=1 "

GitHub的安全策略也涉及到同样的安全问题。Nagappan和他的团队推荐的md文件。同时，维护者安全建议(该公司将其描述为“讨论、修复和发布安全建议的私人工作区”)类似于研究团队建议的私人拉请求功能。

“这是一个有趣的巧合，”普拉卡什说。“尽管如此，我认为这篇论文提供的数据证明了为什么这样做是有意义的。”Nagappan表示同意，并补充说，该团队很高兴能提供这一问题背后的确凿证据。

Hutchings表示，该公司并不知道该团队的研究。“但这并不是说GitHub完全独立地开发了这些功能。我们一直在与客户、合作伙伴和开源社区的成员密切合作，以更好地理解他们所感受到的痛苦。”“这些反馈推动了优先级的确定，并最终迭代解决方案的原型，然后我们与客户进行验证。”

普拉卡什希望一个标准的安全漏洞报告流程，就像GitHub创建的那样，从长远来看将提高开源项目的安全性。“你不想看到的是安全。他说:“医学档案里什么都没有。”“我认为目前还没有定论，但希望它能鼓励人们开始更认真地对待安全问题，即使是在开源项目中。”