La communaut\u00e9 de recherche en s\u00e9curit\u00e9 est l’un des plus grands atouts de GitHub. Chaque ann\u00e9e, des chercheurs du monde entier nous aident \u00e0 trouver et \u00e0 corriger les vuln\u00e9rabilit\u00e9s, rendant ainsi la plateforme plus s\u00fbre pour plus de 180 millions de d\u00e9veloppeurs. Notre programme de bug bounty existe parce que nous pensons que la collaboration avec des chercheurs externes est l’un des moyens les plus efficaces d’am\u00e9liorer la s\u00e9curit\u00e9, et nous y restons profond\u00e9ment attach\u00e9s.<\/p>\n
Mais comme tout programme de bug bounty, nous nous adaptons \u00e0 un paysage changeant. Nous souhaitons partager ce que nous constatons, ce que nous faisons \u00e0 ce sujet et notre vision des limites de s\u00e9curit\u00e9 d’une plateforme comme GitHub.<\/p>\n
Au cours de l’ann\u00e9e \u00e9coul\u00e9e, le volume de soumissions dans l’ensemble du secteur a consid\u00e9rablement augment\u00e9. De nouveaux outils, notamment l\u2019IA, ont abaiss\u00e9 les barri\u00e8res \u00e0 l\u2019entr\u00e9e de la recherche en mati\u00e8re de s\u00e9curit\u00e9, ce qui constitue \u00e0 bien des \u00e9gards une \u00e9volution positive. Plus de personnes explorant les surfaces d’attaque signifie plus d’opportunit\u00e9s de trouver de vrais probl\u00e8mes.<\/p>\n
Cependant, parall\u00e8lement \u00e0 l’augmentation du nombre de rapports l\u00e9gitimes, nous avons constat\u00e9 une forte augmentation des soumissions qui ne d\u00e9montrent pas d’impact r\u00e9el sur la s\u00e9curit\u00e9. Il s’agit notamment de rapports sans preuve de concept, de sc\u00e9narios d’attaque th\u00e9oriques qui ne r\u00e9sistent pas \u00e0 un examen minutieux et de conclusions d\u00e9j\u00e0 couvertes par notre liste d’in\u00e9ligibles publi\u00e9e. Ce n’est pas unique \u00e0 GitHub. Les programmes de l’ensemble du secteur sont aux prises avec le m\u00eame d\u00e9fi, et certains ont \u00e9t\u00e9 compl\u00e8tement ferm\u00e9s.<\/p>\n
Nous ne voulons pas aller dans cette direction. Au lieu de cela, nous souhaitons investir dans l’am\u00e9lioration de notre programme.<\/p>\n
Nous \u00e9levons la barre en ce qui concerne ce que nous consid\u00e9rons comme une soumission compl\u00e8te. \u00c0 l’avenir, les rapports seront \u00e9valu\u00e9s plus strictement en fonction des crit\u00e8res suivants\u00a0:<\/p>\n
Nous voulons \u00eatre explicites \u00e0 ce sujet\u00a0: nous n’avons aucun probl\u00e8me avec le fait que les chercheurs utilisent des outils d’IA.<\/strong> L’IA est un multiplicateur de force et nous nous attendons \u00e0 ce qu’elle joue un r\u00f4le croissant dans la recherche sur la s\u00e9curit\u00e9. Nous utilisons l\u2019IA dans nos propres programmes de s\u00e9curit\u00e9 interne, et nous constatons que les meilleurs chercheurs externes font de m\u00eame. Nous nous en r\u00e9jouissons.<\/p>\n Ce dont nous avons besoin, c’est de la m\u00eame norme \u00e0 laquelle nous nous sommes toujours attendus\u00a0: la validation. Une d\u00e9couverte assist\u00e9e par l’IA qui a \u00e9t\u00e9 v\u00e9rifi\u00e9e, reproduite et soumise avec une preuve de concept fonctionnelle est une excellente soumission. Un r\u00e9sultat non valid\u00e9 soumis tel quel sans reproduction ni impact d\u00e9montr\u00e9 ne l\u2019est pas. Ce n’est pas une nouvelle norme. C’est la m\u00eame norme que nous appliquons \u00e0 la sortie du scanner, \u00e0 l’analyse statique ou \u00e0 tout autre outil. Le chercheur humain est responsable de l’exactitude de la soumission.<\/p>\n Nous demandons \u00e9galement aux chercheurs de maintenir des rapports concis et structur\u00e9s. Un rapport solide comporte trois \u00e9l\u00e9ments\u00a0: un bref r\u00e9sum\u00e9<\/strong> du probl\u00e8me, des \u00e9tapes claires \u00e0 reproduire<\/strong> avec des preuves \u00e0 l’appui (captures d’\u00e9cran, requ\u00eates HTTP, sortie du terminal) et une d\u00e9claration d’impact<\/strong> expliquant ce qu’un attaquant peut r\u00e9ellement r\u00e9aliser. C’est \u00e7a. Les rapports verbeux tels que les r\u00e9cits th\u00e9oriques de plusieurs pages, le contexte d’arri\u00e8re-plan repos\u00e9 ou les \u00e9l\u00e9ments de remplissage g\u00e9n\u00e9r\u00e9s par l’IA ralentissent le tri car les d\u00e9couvertes r\u00e9elles sont enterr\u00e9es. Plus votre rapport est clair et direct, plus vite nous pouvons y donner suite.<\/p>\n Les outils n’ont pas d’importance. La qualit\u00e9 du travail oui.<\/p>\n Un mod\u00e8le que nous observons fr\u00e9quemment m\u00e9rite sa propre discussion. De nombreux rapports d\u00e9crivent des sc\u00e9narios dans lesquels un utilisateur interagit avec du contenu contr\u00f4l\u00e9 par un attaquant (un r\u00e9f\u00e9rentiel malveillant, un probl\u00e8me contrefait, un code non fiable) et subit un r\u00e9sultat ind\u00e9sirable. Ces rapports sont souvent bien r\u00e9dig\u00e9s et leurs observations sont techniquement pr\u00e9cises, mais ils ne comprennent pas o\u00f9 se situe la limite de s\u00e9curit\u00e9.<\/p>\n Nous investissons massivement dans des syst\u00e8mes et des \u00e9quipes d\u00e9di\u00e9s \u00e0 la d\u00e9tection et au traitement des contenus malveillants sur l’ensemble de la plate-forme, de l’analyse automatis\u00e9e \u00e0 l’examen manuel. Cela dit, GitHub fonctionne sur un mod\u00e8le de responsabilit\u00e9 partag\u00e9e<\/strong>. Les utilisateurs sont responsables de\u00a0:<\/p>\n Lorsqu’une \u00ab\u00a0attaque\u00a0\u00bb oblige la victime \u00e0 rechercher activement et \u00e0 interagir avec un contenu contr\u00f4l\u00e9 par l’attaquant (clonage d’un d\u00e9p\u00f4t malveillant, demande \u00e0 un outil d’IA d’analyser du code non fiable, ouverture d’un fichier contrefait), la limite de s\u00e9curit\u00e9 est la d\u00e9cision de l’utilisateur de faire confiance \u00e0 ce contenu. Ces sc\u00e9narios ne repr\u00e9sentent g\u00e9n\u00e9ralement pas un contournement des contr\u00f4les de s\u00e9curit\u00e9 de GitHub.<\/p>\n Pour aider les chercheurs \u00e0 calibrer, voici les mod\u00e8les que nous observons r\u00e9guli\u00e8rement et qui rel\u00e8vent d’une responsabilit\u00e9 partag\u00e9e\u00a0:<\/p>\nComprendre le mod\u00e8le de s\u00e9curit\u00e9 de GitHub\u00a0: responsabilit\u00e9 partag\u00e9e<\/h2>\n
\n
Exemples courants<\/h3>\n