GitHub, geçtiğimiz ay kritik bir uzaktan kod çalıştırma açığını altı saatten kısa bir sürede düzeltti. Wiz Research, bu açığı tespit etmek için AI modelleri kullandı; bu açık, saldırganların milyonlarca kamuya açık ve özel kod deposuna erişim sağlamasına olanak tanıyordu.
GitHub’ın baş bilgi güvenliği sorumlusuna göre, güvenlik ekibi, hata ödül raporunu aldıktan sonra hemen doğrulama sürecine başladı. “Kırk dakika içinde açığı tekrardan iç ortamda ürettik ve ciddiyetini açıkladık,” diyor Alexis Wales. “Bu, acil eylem gerektiren kritik bir sorundu.”
Mühendislik ekibi, kök neden belirlendikten bir saatten kısa bir süre sonra bir düzeltme geliştirdi ve bunu GitHub.com ve GitHub Enterprise Server üzerinde uyguladı. “İki saatten kısa bir sürede sorunun doğruluğunu belirledik, github.com üzerinde düzeltme yayımladık ve hiçbir istismar gerçekleştirilmediğini ortaya koyan bir adli soruşturmaya başladık,” diyor Wales. Bu, Wiz’in raporundan sonra sorunun altı saat içinde çözüme kavuştuğu anlamına geliyor.
Wiz’e göre, bu açık “AI kullanılarak” keşfedildi. Hangi AI modelinin bu sorunu bulmaya yardımcı olduğu ise net değil. “Özellikle, bu, kapalı kaynaklı ikili dosyalarda AI kullanılarak keşfedilen kritik açılardan biridir ve bu tür kusurların nasıl tanımlandığındaki değişimi vurgular,” diyor Wiz’daki güvenlik araştırmacısı Sagi Tzadik.
GitHub’ın hızlı yanıtı, düzeltmenin sadece birkaç saat içinde uygulanmasını sağladı. Ancak Wiz, nadir bulunan bu açığın “olağanüstü kolay bir şekilde istismar edilebileceğine” dikkat çekiyor; bu durum GitHub’ın karmaşık sistemine rağmen geçerli. “Bu kalibre ve ciddiyette bir bulgu nadirdir ve Hata Ödül programımızda sunulan en yüksek ödüllerden birini kazandı. Bu, en etkili güvenlik araştırmalarının doğru soruları sorabilen yetenekli araştırmacılardan geldiğini hatırlatıyor,” diyor Wales.
GitHub’daki büyük bir açığın keşfi, hizmetin giderek bir trend haline gelen kesintiler yaşadığı bir zamanda gerçekleşti. Geçtiğimiz hafta bazı kullanıcılar için daha önce birleştirilmiş kodların (kod anlık görüntüleri) rastgele geri alındığı büyük bir kesinti yaşandı. GitHub, geçen hafta başka kesintiler de yaşadı. Bir çalışan, “Şirket çöküyor, hem gerçekten kötü olan kesintiler nedeniyle hem de yönetimdeki bir exodus nedeniyle… Bu durum şirkete büyük zarar verdi,” diyor.
GitHub’ın güvenlik açığına karşı bu kadar hızlı bir çözüm geliştirmesi, şirketin nasıl bir strateji izlemeye karar verdiği konusunda sizce neler söylüyor?
