GitHub ha lanzado oficialmente un nuevo laboratorio de seguridad con el objetivo de asegurar el software de código abierto.
El objetivo es «reunir a investigadores de seguridad, mantenedores y empresas de toda la industria que comparten nuestra creencia de que la seguridad del código abierto es importante para todos», dijo la plataforma de repositorio de código propiedad de Microsoft .
Se unen a la compañía en esta iniciativa los profesionales de seguridad de varias compañías tecnológicas, incluidas F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber y VMWare.
A tal efecto, la compañía está haciendo que CodeQL esté disponible gratuitamente para que cualquiera pueda encontrar vulnerabilidades en el código de código abierto. También está lanzando GitHub Advisory Database , una base de datos pública de avisos de seguridad creada en GitHub.
CodeQL, la herramienta de análisis de código semántico utilizada para detectar vulnerabilidades en bases de código, proviene de su adquisición de Semmle en septiembre .
Además de identificar e informar vulnerabilidades en el software de código abierto, GitHub Security Lab se adherirá a un ciclo de vida de seguridad de código abierto que garantiza que los mantenedores y desarrolladores revelen y reparen fallas de software mientras aprovechan CodeQL para evitar que ocurran vulnerabilidades de seguridad en el futuro.
CodeQL de Semmle ha sido fundamental para descubrir cientos de errores en proyectos de código abierto, que abarcan Google Chromium, Linux, Ubuntu y el navegador Edge de Microsoft.
Por su parte, Semmle ofrece su propio panel de divulgación . Pero no será sorprendente si GitHub lo integra con su nueva base de datos de asesoramiento en el futuro, haciendo que todo sea accesible en un solo lugar.
Desde lenguajes de programación populares como Python y Ruby, y marcos de aprendizaje automático como TensorFlow, hasta bibliotecas de JavaScript y soluciones de implementación de aplicaciones como Kubernetes, GitHub alberga varios proyectos de software que forman la base de la web moderna en la actualidad.
A partir de agosto de 2019 , el servicio de colaboración de software está siendo utilizado por más de 40 millones de desarrolladores en todo el mundo y se utiliza para almacenar 100 millones de repositorios de código.
El desarrollo se acerca al lanzamiento de la compañía de una aplicación móvil nativa para iOS (en versión beta) y una experiencia mejorada de búsqueda de código y notificaciones. También compró Pull Panda a principios de este año para reforzar su cartera de herramientas de revisión de código y proporcionar a los desarrolladores una infraestructura para crear software seguro que siga las mejores prácticas de software.
Ahora, con la formación de una coalición abierta de equipos de seguridad e investigadores para aumentar la seguridad del software, GitHub ha surgido la plataforma más completa capaz de manejar todos los aspectos del flujo de trabajo de desarrollo de software.