Os funcionários do GitHub corrigiram uma vulnerabilidade crítica de execução remota de código em menos de seis horas no mês passado. Use com pesquisa O modelo de IA descobriu vulnerabilidades na infraestrutura Git interna do GitHub que poderiam ter dado aos invasores acesso a milhões de repositórios de código públicos e privados.
“Nossa equipe de segurança começou imediatamente a validar o relatório de recompensas de bugs. Em 40 minutos, conseguimos reproduzir a vulnerabilidade internamente e confirmar sua gravidade.” Alexis Wales explicaDiretor de segurança da informação do GitHub. “Este era um problema sério que exigia atenção imediata.”
A equipe de engenharia do GitHub desenvolveu uma correção, identificou a causa raiz e a implantou em pouco mais de uma hora, protegendo GitHub.com e GitHub Enterprise Server. “Em menos de duas horas, verificamos nossas descobertas, implantamos uma correção no github.com e iniciamos uma investigação forense que concluiu que não houve exploração”, disse Wales. Isso significa que o problema foi corrigido 6 horas após ser relatado pelo Wiz.
De acordo com Wiz, a vulnerabilidade em si foi descoberta “usando IA”. No entanto, não está claro exatamente qual modelo de IA ajudou a descobrir o problema. “Notavelmente, esta é uma das primeiras vulnerabilidades significativas descobertas em binários de código fechado usando IA, destacando uma mudança na forma como essas falhas são identificadas”, disse Sagi Tzadik, pesquisador de segurança da Wiz.
Devido à resposta rápida do GitHub, a correção foi lançada em apenas algumas horas, mas Wiz alertou que, apesar da complexidade dos sistemas subjacentes do GitHub, essa rara vulnerabilidade era “muito fácil de explorar”. “Descobertas desta escala e gravidade são raras, o que nos valeu uma das maiores recompensas no nosso programa de recompensas por bugs e um lembrete de que a investigação de segurança mais impactante vem de investigadores qualificados que sabem como fazer as perguntas certas”, diz Wales.
A descoberta de uma vulnerabilidade crítica do GitHub ocorre dias depois que o GitHub sofreu uma grande interrupção que reverteu aleatoriamente commits mesclados anteriormente (instantâneos de código) para alguns usuários. Também disponível no GitHub Outras interrupções de energia Na última semana, este serviço tornou-se cada vez mais popular. Na semana passada, relatei as preocupações dos funcionários sobre a confiabilidade do GitHub e apresentei um funcionário do GitHub que disse: “A empresa está desmoronando, tanto por causa da interrupção realmente grave que arruinou a reputação da empresa, quanto por causa do vazamento de liderança”.
