【加大力度】GitHub推 125 萬安全基金 提升逾億用戶開源項目安全
擁有過億用家的開源程式碼託管平台 GitHub 宣布推出新措施,透過設立「安全開源基金」(Secure Open Source Fund)計劃,全方位支援開源項目的安全性及持續發展。近年平台頻頻成為黑客目標,今年便發生多宗嚴重事故,包括黑客利用平台評論功能的漏洞散播虛假升級檔案,以及將惡意程式刻意改名為知名開源項目,誤導用家下載。相信這次推出新計劃,便是為了改善問題而設。
開源項目中發現逾十萬惡意代碼
GitHub 由於擁有龐大的用家群,因而成為黑客熱門的攻擊目標。有網絡安全機構在今年三月曾調查平台上的開源項目,發現超過 100,000 個項目含有惡意代碼,這對開發者造成潛在威脅。研究員指這些數據可見,黑客正在向平台上傳惡意軟件,導致 GitHub 的自動安全掃瞄系統難以檢測和消除這些威脅。
這些惡意代碼包括木馬病毒、蠕蟲、間諜軟件和勒索軟件,可能竊取用家數據或損壞系統。報告內亦指出,開發者可能在不知情的情況下使用這些代碼,導致安全漏洞和聲譽損害。而這情況出現的原因之一,是開發者本身的網絡安全意識不足,因而有必要採取措施減少這種情況發生,其中一個可行的方法便是建立一個社群。
計劃強化開源生態系統安全
這項由微軟旗下 GitHub 推出的基金總額達 125 萬美元,首階段將資助 125 個開源項目,即每個項目可獲 1 萬美元資助。GitHub 表示在黑客手法日趨複雜的情況下,此計劃旨在建立一個以安全為重點的維護者及資助者社群,以提升整個開源生態系統的安全性。
除了財政支援外,GitHub 還會為項目維護者提供安全教育、認證、指導及工具支援。參與項目的維護者每週須承諾投入 5 至 10 小時參與工作坊、小組會議及專案開發,而他們將獲得 GitHub 安全實驗室團隊的專屬指導,並可與安全專家直接交流。
GitHub 同時會為參與者提供免費使用及培訓機會,包括學習使用 Copilot、Copilot Autofix 及 Secret Scanning 等安全檢測工具,以及可加入新成立的 GitHub 安全開源社群,拓展人脈網絡。這些工具能協助維護者及早發現潛在威脅,防範黑客利用平台漏洞進行攻擊。
安全開源基金的申請期由即日起至 2025 年 1 月 7 日止。官方表示目前已有十多個機構支持這項計劃,更表示會繼續歡迎更多夥伴加入,共同資助開源項目的安全發展。GitHub 強調面對日益複雜的網絡安全挑戰,透過生態系統方式解決開源安全問題,能為業界帶來更多資源,確保開源項目的可持續發展及其安全性。
資料來源:https://www.securityweek.com/github-launches-fund-to-improve-open-source-project-security/