Bejött a GitHubnak a tavaly ősszel indította hibakereső eszköz. A hibakereső a nyílt forráskódú programokat tartalmazó repositoryba feltöltött programokban szúrja ki a sérülékenységek egy részét.

A november óta eltelt öt hónap alatt négymillió sérülékenységet sikerült azonosítani a segítségével, amiből közel félmilliót javítottak is a kódot feltöltők.

A sérülékenységek feltárásában a GitHub a CVE (Common Vulnerabilities and Exposures) által közzétett listákat veszi alapul. Ha bekerül egy új sérülékenység a CVE listájába, a GitHub ellenőrzni, hogy a feltöltött kódokban megtalálható-e. Ha egy kódban a rendszer ilyen sérülékenységet érzékel, arról azonnal értesítést küld az adott könyvtár tulajdonosának. Az eszköz gépi tanulási algoritmus segítségével a javításra is tesz javaslatot.

A közösség mindig gyorsan reagál

A GitHub nagy sikernek könyveli el, hogy a riasztások gyors reakciót váltottak ki. A hibakereső az elindítása utáni első hónapban több százezer hibát segített feltárni, amit a kód feltöltői nagyon gyorsan, jellemzően a riasztástól számítva hét napon belül javítottak is. Bár a gyorsan reagálók aránya csak 45 százalék, az oldal közleménye szerint a nem javított hibák olyan tárhelyekhez tartoznak, amelyeket senki sem használt a riasztás előtti 90 napban.

A sérülékenységekről egyébként lehet a GitHub kezelőfelületére és emailben is riasztást kérni. A GitHub ebben további fejlesztéseket ígér, hogy a repositoryt üzemeltetők minél jobban áttekinthető képet kapjanak a feltárt problémákról.