Bu Yardım Ağı Güvenliği’nde GitHub’un CISO’su Alexis Wales, GitHub’ın milyonlarca geliştiriciyi ve veri havuzunu korumak için güvenliği platformunun her yönüne nasıl yerleştirdiğini ve güvenli yazılım oluşturmak için güvenilir bir platform olarak kalmasını nasıl sağladığını tartışıyor.
GitHub, yazılım geliştirme ekosisteminde merkezi bir rol oynamaktadır. Milyonlarca kullanıcı ve veri havuzu ölçeğinde güvenliği nasıl ele alıyorsunuz?
Güvenlik, platformumuzun ve işimizin sağlığını ve güvenliğini sağlamaktan daha geniş topluluğumuza kadar GitHub’da yaptığımız her şeyin içine yerleştirilmiştir. Yazılım güvenliğinin geliştiriciyle başladığını bilerek, hesap güvenliğini iyileştirerek yazılım ekosistemini güvence altına almaya yönelik platform çapındaki çabanın bir parçası olarak GitHub’a kod katkısı yapan tüm kullanıcılar için 2FA’yı kullanıma sunduk.
GitHub Gelişmiş Güvenlik aracılığıyla GitHub, müşterilerimize yapay zeka destekli statik analiz, gizli tarama ve yazılım kompozisyon analizi özellikleri sunarak GitHub üzerinde çalışan ekiplerin başlangıçtan itibaren güvenli yazılım sunmaya yardımcı olmasını sağlar. Açık kaynak kodundaki güvenlik açıkları, ona bağlı olan milyonlarca insan ve hizmet üzerinde küresel bir dalga etkisi yaratabileceğinden, bu araçları açık kaynak bakımcıları için de ücretsiz olarak sunuyoruz.
Sonuçta GitHub’ın geliştiricilerin üzerinde geliştirme yapabileceği en güvenilir platform olarak kalması kritik önem taşıyor ve biz de bu şekilde kalmamızı sağlamak için derin yatırım yapıyoruz. Platformun kötü amaçlı kullanımına ilişkin politikalarımızı ihlal eden içerik ve hesapları tespit etmeye, analiz etmeye ve kaldırmaya adanmış ekiplerimiz var.
GitHub’un ürün yol haritası ile güvenlik hedefleri arasındaki uyumu nasıl sağlıyorsunuz?
GitHub’da yaptığımız her şeyde güvenliğe öncelik veriyoruz. Tasarımdan dağıtıma kadar geliştirme süreci boyunca güvenliğin entegre olmasını sağlamak için mühendislik ve ürün ekiplerimizle yakın işbirliği içinde çalışıyoruz. Tasarım gereği güvenli felsefemiz, güvenliğin sonradan akla gelen bir düşünce değil, ürün yol haritamızın temel bir parçası olduğu anlamına gelir. Müşterilerimizin ve açık kaynak topluluğunun güvenli bir platform sağlama konusunda bize güvendiğini anlıyoruz ve bu sorumluluğu ciddiye alıyoruz. Ekiplerimizle işbirliği yaparak ve güvenliği ön planda tutarak ürün yol haritamızın güvenlik hedeflerimiz ile uyumlu olmasını ve müşterilerimizin ihtiyaçlarını karşılamasını sağlıyoruz.
GitHub, yazılım güvenliğini geliştirmek için açık kaynak topluluğuyla nasıl işbirliği yapıyor?
Dünyanın büyük bir kısmı açık kaynaklı yazılımla çalışıyor ve bunun güvence altına alınması, çoğu gönüllü olan açık kaynak topluluğunu destekleyen ve onlarla işbirliği yapan kamu ve özel sektör kuruluşları arasında topluluk çabasını gerektiriyor.
GitHub, açık kaynak ekosistemindeki önemli rolüne sahiptir ve uzun süredir açık kaynak topluluğuna güç veren programlama, araçlar, eğitim ve altyapıya yatırım yapmaktadır. Örneğin, GitHub, Açık Kaynak Güvenlik Vakfı’nın kurucu üyesidir; GitHub Güvenlik Laboratuvarı, açık kaynak güvenlik açığı araştırmalarını araştırmacılarımıza atfedilen 700’den fazla CVE ile düzenli olarak paylaşır ve GitHub Danışma Veritabanı, topluluğa bu konuda ücretsiz ve açık bir araç sunar. Açık kaynak yazılımını etkileyen güvenlik açıkları hakkında bilgi edinin ve bunlara katkıda bulunun.
Yakın zamanda, açık kaynak projelerinin güvenliğini ve sürdürülebilirliğini mali ve programlı olarak geliştirmek için tasarlanmış bir program olan GitHub Güvenli Açık Kaynak Fonu’nu da tanıttık. American Express, 1Password, Stripe ve diğerleri gibi ortaklarla başlangıç olarak 1,25 milyon ABD Doları ile başlatılan fon, üç haftalık bir mentorluk programına ek olarak finansal destek sunarak bakım sağlayıcılara projelerinin güvenliğini artırma ve daha dayanıklı bir açık kaynak ekosistemi geliştirme gücü veriyor. .
GitHub’da bildirilen güvenlik açıklarını yönetirken şeffaflığı ve güveni nasıl sağlıyorsunuz?
Kuruluşlar, işlerine olan güveni güçlendirmenin bir yolu olarak şeffaflığa giderek daha fazla yöneliyor ve GitHub için de durum farklı değil. GitHub’un ve ürünlerimizin güvenliğini geliştirmeye devam ettiğimizden emin olmak için hata ödül programımız aracılığıyla güvenlik araştırma topluluğuyla düzenli olarak iletişim halindeyiz ve bildirilen sorunları araştırıyoruz. GitHub aynı zamanda bağımsız bir CVE sağlayıcısı olmaya devam ediyor ve müşterilerin, biz yayınladıkça özelliklerin güvenli sürümlerinden yararlanmaya devam etmelerini sağlamak için platformumuzu etkileyen güvenlik açıklarına yönelik olarak düzenli olarak CVE’ler yayınlıyoruz.
Müşteriler ayrıca GitHub Güven Merkezi aracılığıyla ürünlerimizi nasıl sorumlu bir şekilde oluşturduğumuz hakkında daha fazla bilgi edinebilir.
Önümüzdeki 12-18 ay içinde GitHub’ın güvenlik stratejisi için en önemli öncelikleriniz nelerdir?
Güvenlik asla yapılan bir şey değildir; müşterilerimizin güvenini korumak en büyük öncelik olmaya devam ediyor ve ekibimiz hem platformun güvenliğine hem de geliştiricilerin güvenli yazılım oluşturmasına yardımcı olmaya yoğun yatırım yapıyor. Bu, platformumuzun kullanılabilir, erişilebilir ve güvenli kalmasını sağlamak için devam eden iyileştirmelerin yanı sıra geliştirici ve güvenlik ekiplerinin güvenlik açığı düzeltmelerini benzeri görülmemiş ölçekte önceliklendirmesine ve düzenlemesine yardımcı olan Copilot Autofix gibi yenilikleri sergilemeye devam etmeyi de içeriyor.
Platformda daha fazla yapay zeka tabanlı deneyim sunmaya devam ederken, müşterilerin GitHub’u güvenlik risklerini en aza indirecek şekilde güvenle kullanabilmeleri için tasarım gereği güvenli ve varsayılan olarak güvenli ilkelerinin her ürüne dahil edilmesini sağlamaya odaklanmaya devam ediyoruz.