12月9日消息，GitHub 最近推出了 GitHub Security Lab——供安全研究人員和開發者修復漏洞和共享專業知識的空間，旨在改善 GitHub 代碼共享生態系統整體安全性。GitHub 去年被微軟以 56 億英鎊收購，現在是 4，000 萬開發人員的軟件開發及代碼庫。但不幸的是，惡意黑客也使用該平臺托管惡意軟件，有時候甚至還存儲被盜數據，比如 Capital One 數據泄露事件中呈現的那樣。

GitHub Security Lab 將幫助安全團隊識別并報告開源軟件中的漏洞。該安全實驗室旨在令開發人員更容易使用 GitHub 來修復漏洞和項目。

GitHub 產品管理安全副總裁 Jamie Cool 在安全博客文章中評論道：GitHub Security Lab 的使命是激勵和幫助全球安全研究社區保護世界代碼安全。我們的團隊將以身作則，投入全時資源查找和報告關鍵開源項目中的漏洞，目前為迄今為止發現的 100 多個安全漏洞發布了 CVE。

GitHub Security Lab 嘗試建立跨行業社區，目前召集了來自 F5、Google、HackerOne、英特爾、IOActive、摩根大通、LinkedIn、微軟、Mozilla、NCC Group、甲骨文、Trail of Bits、Uber 和 VMWare 等業界領袖的“專業技能及時間資源”。

GitHub Security Lab

GitHub 研究踏入開源漏洞領域時，40% 的安全漏洞尚無 CVE 標識，70% 的已發現問題在開發者接到告警后 30 天內仍未修復。GitHub Security Lab 想要聯合開發人員，確保漏洞在修復負責人員已就位時才披露，以此解決漏洞披露后久未修復的問題。

頗為重要的是，GitHub 在兩個月前成為了 CVE 編號發布機構，可以在需要的時候發布 CVE 編號。

作為這項倡議的一部分，GitHub 創建了 Security Advisories（安全咨詢）功能供維護者使用：安全研究人員在私有空間進行安全修復，直接向 GitHub 申請 CVE，指定漏洞的結構化細節。然后，當他們準備好發布安全咨詢時，GitHub 就會向受影響項目發送安全告警。

為使開發人員具備快速行動的能力，GitHub 將其自動化安全更新功能從測試版帶入基本可用的版本。該功能可以推送漏洞通知，更重要的是，還包含了能夠“將脆弱依賴更新至已修復版本”的拉取請求。

GitHub 還發布了一款由該安全實驗室運營的令牌掃描應用，能夠 “在提交推送至 GitHub（或存儲庫公開）的數秒內，對照來自 20 個不同云供應商的令牌格式掃描之。只要檢測到匹配，我們就會通知相應的服務提供商，由他們采取行動，基本上就是撤銷令牌，并且通告受影響的用戶。”

GitHub 將維護者創建的所有數據在 GitHub Advisory Database（咨詢數據庫）中免費開放。