GitHub hace pública la base de datos de asesoramiento
Postado por Editorial em 23/02/2022 em NoticiasCompartilhar:
La comunidad de seguridad se beneficiará de los datos libres y abiertos
GitHub está abriendo la base de datos de asesoramiento de GitHub a las presentaciones de la comunidad, aproximadamente dos años después de que la plataforma de alojamiento de código patentado de Microsoft lanzara por primera vez la base de datos de vulnerabilidades para el consumo público.
El movimiento encaja en un impulso más amplio de la industria para asegurar la cadena de suministro de software y sigue a una reciente cumbre de seguridad de código abierto organizada por la Casa Blanca que buscaba abordar la mejor manera de abordar las fallas en el software impulsado por la comunidad, como la vulnerabilidad Log4j descubierta recientemente.
"GitHub cree que los datos de seguridad gratuitos y abiertos son fundamentales para permitir que la industria en su conjunto proteja mejor nuestras cadenas de suministro de software", escribió Kate Catlin, gerente senior de productos de GitHub, en una publicación de blog.
La base de datos de asesoramiento de GitHub es un gran compendio de vulnerabilidades de dependencia de software, que permite a los desarrolladores buscar problemas conocidos que afectan a proyectos de código abierto en GitHub, incluidos repositorios específicos en sus propios proyectos que pueden verse afectados.
Hasta ahora, GitHub ha poblado la base de datos utilizando información recopilada de varias fuentes, incluida la Base de datos nacional de vulnerabilidad; una combinación de aprendizaje automático y revisiones humanas de compromisos de código público en GitHub; alertas de seguridad informadas a través de GitHub; y la base de datos de avisos de seguridad de NPM. En el futuro, en lugar de depender completamente de equipos de investigadores y curadores de seguridad para mantener la base de datos, revisar los cambios de código y mantener las alertas actualizadas, GitHub ahora permitirá que los miembros de la comunidad agreguen su propio valor a la combinación.
"Al facilitar la contribución y el consumo, esperamos que genere aún más experiencias y ayude a mejorar aún más la seguridad de todo el software", dijo Catlin.
