GitHub CSO promette più strumenti di sicurezza e funzionalità per gli sviluppatori

0
19

Iscriviti a Transform 2021 per i temi più importanti nell'intelligenza artificiale e nei dati aziendali. Per saperne di più.

La piattaforma di sviluppo software GitHub ha nominato l'ex dirigente di Cisco Mike Hanley il suo primo chief security officer come parte degli sforzi per proteggere la catena di fornitura del software.

"GitHub è sempre stato all'avanguardia nell'aiutare gli sviluppatori a creare software sicuro, dalla nostra rapida adozione di bug bounties all'acquisizione di Dependabot e Semmle, al lancio del Security Lab e altro ancora", ha detto a VentureBeat un portavoce di GitHub. "Assumere Mike come CSO è il prossimo passo naturale per continuare a promuovere la sicurezza sia all'interno di GitHub che per gli sviluppatori sulla piattaforma."

In qualità di primo CSO di GitHub, Hanley ha promesso che la società investirà in strumenti di codifica più sicuri per aiutare gli sviluppatori a trovare e correggere le vulnerabilità e per introdurre più funzionalità di sicurezza che proteggono i repository dei progetti da malintenzionati.

"Gran parte dello sviluppo mondiale avviene su GitHub che la sicurezza non è solo un'opportunità per noi, ma una responsabilità", ha detto Hanley a VentureBeat.

Migliori strumenti di sicurezza

GitHub, che Microsoft ha acquisito per 7,5 miliardi di dollari nel 2018, ha recentemente introdotto diverse funzionalità per aiutare gli sviluppatori a "spostarsi a sinistra" o rilevare e correggere le vulnerabilità di sicurezza nelle prime fasi del ciclo di sviluppo. La scansione segreta cerca informazioni sensibili, come chiavi di crittografia, token di accesso e password archiviate nel repository Git. Una volta trovati, questi segreti vengono revocati prima che qualcuno tenti di usarli maliziosamente. La scansione del codice, alimentata dal motore di analisi CodeQL, cerca le vulnerabilità di sicurezza nella codebase. Gli sviluppatori ricevono quindi informazioni per risolvere questi problemi. La revisione delle dipendenze verifica se il progetto utilizza versioni vulnerabili di librerie e componenti di terze parti e fornisce informazioni sulle versioni più recenti.

"Dotare gli sviluppatori di funzionalità come la scansione del codice che possono aiutarli a impedire che una vulnerabilità si estenda nel codice di produzione può aiutare a evitare impatti e spese enormi per gestire la ricaduta delle vulnerabilità che vengono scoperte, in molti casi, anni dopo la loro spedizione", Hanley disse.

La società ha anche introdotto lo scorso anno l'autenticazione senza password per incoraggiare gli sviluppatori ad adottare metodi di autenticazione come token di accesso e biometria invece di fare affidamento sulle password. Questi metodi alternativi riducono la possibilità che persone non autorizzate rubino o indovinino le password e accedano al codice del software.

"Continuare a investire in tecnologie di sicurezza facili da adottare e utilizzare per gli sviluppatori, il tutto nell'ambito dell'esperienza nativa che conoscono e amano, innalza la posizione di sicurezza generale in tutta la comunità", ha affermato Hanley.

L'ex vicepresidente della sicurezza Shawn Davenport ha guidato molti di questi sforzi iniziali, che Hanley ha definito "una fondazione incredibile".

Alzare l'asticella

GitHub afferma di avere più di 56 milioni di sviluppatori sulla piattaforma e di supportare "molti di più" attraverso dipendenze a monte. È nell'interesse di GitHub, quindi, assicurarsi che gli account degli sviluppatori siano protetti da accessi non autorizzati perché qualcuno ha indovinato o rubato le credenziali di accesso. Nel 2017, Uber ha annunciato una grave violazione dei dati che ha esposto i dati personali di milioni di motociclisti e conducenti. Si è scoperto che gli attori non autorizzati erano in grado di accedere all'account GitHub di Uber perché l'autenticazione a più fattori non era attivata.

Molte aziende ospitano il codice sorgente per le loro applicazioni interne su GitHub, che ospita anche molti dei componenti di terze parti e delle librerie open source su cui fanno affidamento gli sviluppatori. GitHub può proteggere queste organizzazioni assicurandosi che non ci siano credenziali esposte o codice vulnerabile nei repository. Nella stessa violazione di Uber, gli attori non autorizzati sono stati in grado di accedere all'istanza di Amazon Web Services di Uber contenente i dati degli utenti perché hanno scoperto le chiavi AWS di Uber all'interno del codebase.

L'anno scorso, la società ha annunciato il Security Lab, un programma di ricompense per aiutare sviluppatori e ricercatori a trovare e segnalare le vulnerabilità in progetti open source critici. In qualità di host di una delle più grandi raccolte al mondo di progetti open source, GitHub si trova in una "posizione straordinariamente unica per potenziare la comunità degli sviluppatori con questi strumenti su vasta scala", ha affermato Hanley.

In qualità di ex chief information security officer di Cisco, Hanley si è concentrato sul programma di sicurezza interna del gigante del networking, inclusa la protezione dei dipendenti e dei sistemi e la creazione e la protezione delle applicazioni. L'esperienza gli ha mostrato che era possibile muoversi velocemente durante lo sviluppo di applicazioni senza compromettere la sicurezza del software.

"[Good] la sicurezza e la velocità del business non sono concetti opposti se confrontati con un design attento e un approccio incentrato sul cliente ", ha scritto Hanley in un post sul blog dell'azienda. "Credo che la sicurezza fatta bene ci consenta di andare oltre, più velocemente e con maggiore sicurezza che mai."

VentureBeat

La missione di VentureBeat è quella di essere una piazza della città digitale per i responsabili delle decisioni tecniche per acquisire conoscenze sulla tecnologia trasformativa e sulle transazioni.

Il nostro sito fornisce informazioni essenziali sulle tecnologie e strategie dei dati per guidarti mentre guidi le tue organizzazioni. Ti invitiamo a diventare un membro della nostra community, per accedere a:

  • informazioni aggiornate sugli argomenti di tuo interesse
  • le nostre newsletter
  • contenuti gated leader di pensiero e accesso scontato ai nostri eventi preziosi, come Transform
  • funzionalità di rete e altro ancora

Diventare socio

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui