GitHub anunció el martes que su base de datos consultiva para datos de seguridad ahora está abierta a contribuciones de expertos.
Kate Catlin, gerente sénior de productos de GitHub, explicó que la empresa cuenta con equipos de investigadores de seguridad que revisan todos los cambios y ayudan a mantener actualizados los avisos de seguridad.
Pero con la cantidad de nuevas vulnerabilidades y los diferentes vectores de ataque que surgen cada día, la empresa cree que los miembros de su comunidad pueden compartir conocimientos e inteligencia adicionales sobre CVE.
«GitHub está publicando el contenido completo de la base de datos consultiva para facilitar que la comunidad se beneficie de estos datos. También creamos una interfaz de usuario para realizar contribuciones… Los datos tienen una licencia Creative Commons y tienen sido desde el inicio de la base de datos, haciéndola siempre gratuita y utilizable por la comunidad», dijo Catlin.
«La base de datos de asesoramiento de GitHub es la base de datos de vulnerabilidades en dependencias de software más grande del mundo. La mantiene un equipo dedicado de curadores de tiempo completo y potencia la experiencia de auditoría de seguridad para npm y NuGet, así como las propias alertas Dependabot de GitHub. Por Al facilitar la contribución y el consumo, esperamos que genere aún más experiencias y ayude a mejorar la seguridad de todo el software».
GitHub ha creado un flujo de trabajo de «sugerir mejoras para esta vulnerabilidad» en los avisos de seguridad de la base de datos. Esto permite que los investigadores de GitHub Security Lab y el mantenedor del proyecto que presentó el CVE revisen su solicitud.
El formulario le permite sugerir cambios o proporcionar más contexto sobre paquetes, versiones afectadas, ecosistemas afectados y más.
Catlin agregó que los avisos en el repositorio de la base de datos de avisos de GitHub utilizarán el formato de vulnerabilidades de código abierto (OSV). Oliver Chang, ingeniero de software del equipo de seguridad de código abierto de Google, dijo que para escalar la gestión de vulnerabilidades en el código abierto, los avisos de seguridad «deben ser ampliamente accesibles y fáciles de contribuir para todos».
«OSV proporciona esa capacidad», dijo Chang.
GitHub presionó repetidamente a sus usuarios para habilitar la autenticación de dos factores el año pasado y, en agosto, anunció que dejaría de aceptar contraseñas de cuentas al autenticar las operaciones de Git. La plataforma comenzó a requerir que las personas usaran factores de autenticación más fuertes, como tokens de acceso personal, claves SSH y tokens de instalación de la aplicación OAuth o GitHub para todas las operaciones de Git autenticadas en GitHub.com.
En enero, GitHub anunció que la autenticación de dos factores estará disponible para todos los usuarios a través de GitHub Mobile.
