GitHub कर्मचारियों ने पिछले महीने छह घंटे से भी कम समय में एक महत्वपूर्ण रिमोट कोड निष्पादन भेद्यता को ठीक किया। विज़ रिसर्च का उपयोग किया गया एआई मॉडल गिटहब के आंतरिक गिट बुनियादी ढांचे में एक भेद्यता को उजागर करने के लिए है जो हमलावरों को लाखों सार्वजनिक और निजी कोड रिपॉजिटरी तक पहुंचने की अनुमति दे सकता है।
“हमारी सुरक्षा टीम ने तुरंत बग बाउंटी रिपोर्ट को मान्य करना शुरू कर दिया। 40 मिनट के भीतर, हमने आंतरिक रूप से भेद्यता को दोहराया और गंभीरता की पुष्टि की,” एलेक्सिस वेल्स बताते हैंGitHub मुख्य सूचना सुरक्षा अधिकारी। “यह एक गंभीर मुद्दा था जिसके लिए तत्काल कार्रवाई की आवश्यकता थी।”
GitHub की इंजीनियरिंग टीम ने एक समाधान विकसित किया और GitHub.com और GitHub एंटरप्राइज़ सर्वर दोनों की सुरक्षा करते हुए, मूल कारण की पहचान करने के एक घंटे से अधिक समय बाद इसे तैनात किया। वेल्स कहते हैं, “दो घंटे से भी कम समय में हमने निष्कर्ष को मान्य कर दिया था, github.com पर एक फिक्स तैनात किया था, और एक फोरेंसिक जांच शुरू की थी जिसमें निष्कर्ष निकाला गया था कि कोई शोषण नहीं हुआ था।” इसका मतलब यह था कि विज़ की रिपोर्ट के छह घंटे के भीतर समस्या का समाधान कर दिया गया था।
विज़ के अनुसार, भेद्यता की खोज “एआई का उपयोग करके” की गई थी। हालाँकि, यह बिल्कुल स्पष्ट नहीं है कि किस एआई मॉडल ने समस्या का पता लगाने में मदद की। विज़ के एक सुरक्षा शोधकर्ता सागी तज़ादिक कहते हैं, “विशेष रूप से, यह एआई का उपयोग करके बंद-स्रोत बायनेरिज़ में खोजी गई पहली महत्वपूर्ण कमजोरियों में से एक है, जो इन खामियों की पहचान करने के तरीके में बदलाव को उजागर करती है।”
जबकि GitHub की त्वरित प्रतिक्रिया का मतलब था कि कुछ ही घंटों में समाधान तैनात कर दिया गया था, Wiz ने चेतावनी दी है कि GitHub की अंतर्निहित प्रणाली कितनी जटिल है, इसके बावजूद दुर्लभ भेद्यता का “दोहन करना उल्लेखनीय रूप से आसान” था। वेल्स कहते हैं, “इस क्षमता और गंभीरता की खोज दुर्लभ है, जो हमारे बग बाउंटी कार्यक्रम में उपलब्ध उच्चतम पुरस्कारों में से एक अर्जित करती है, और एक अनुस्मारक के रूप में कार्य करती है कि सबसे प्रभावशाली सुरक्षा अनुसंधान कुशल शोधकर्ताओं से आता है जो सही प्रश्न पूछना जानते हैं।”
GitHub में एक बड़ी भेद्यता की खोज GitHub के एक बड़े आउटेज के कुछ ही दिनों बाद हुई है, जिसमें कुछ उपयोगकर्ताओं के लिए पहले से मर्ज किए गए कमिट (कोड स्नैपशॉट) को बेतरतीब ढंग से वापस कर दिया गया था। GitHub के पास भी था अन्य रुकावटें पिछले सप्ताह, यह सेवा तेजी से एक प्रवृत्ति बनती जा रही है। मैंने पिछले सप्ताह GitHub विश्वसनीयता के बारे में कर्मचारियों की चिंताओं पर रिपोर्ट की थी, जिसमें GitHub के एक कर्मचारी पर प्रकाश डाला गया था जो कहता है कि “कंपनी ढह रही है, दोनों आउटेज में जो वास्तव में खराब हैं और जिसने कंपनी की प्रतिष्ठा को नुकसान पहुंचाया है… और नेतृत्व के पलायन में।”
