GitHub устранил критическую уязвимость за шесть часов
В прошлом месяце специалисты GitHub в сжатые сроки нейтрализовали критическую угрозу удаленного выполнения кода. Уязвимость была обнаружена исследователями из Wiz Research с применением моделей искусственного интеллекта. Брешь в архитектуре системы контроля версий Git могла открыть злоумышленникам доступ к миллионам открытых и закрытых репозиториев с исходным кодом.
Оперативное реагирование на угрозу
Согласно заявлению главного директора по информационной безопасности GitHub Алексис Уэйлс, после получения сообщения о баге команда безопасности незамедлительно приступила к его проверке. Для подтверждения серьезности проблемы и ее воспроизведения в изолированной среде потребовалось менее 40 минут.
- Инженерный отдел разработал и внедрил исправление через час после выявления первопричины сбоя.
- Обновления были успешно развернуты как для облачной платформы GitHub.com, так и для серверного решения GitHub Enterprise Server.
- Полный цикл от подтверждения уязвимости до завершения форензики — расследования инцидента — занял не более шести часов.
- Анализ логов показал, что до момента устранения бага фактов эксплуатации системы злоумышленниками зафиксировано не было.
Роль искусственного интеллекта в кибербезопасности
Исследователи Wiz подчеркивают, что это один из первых случаев обнаружения критической уязвимости в закрытом двоичном коде с помощью нейросетей. По словам Саги Цадика, эксперта Wiz, данный прецедент знаменует собой изменение подходов к поиску программных дефектов. Несмотря на высокую сложность инфраструктуры GitHub, обнаруженная ошибка оказалась достаточно простой для эксплуатации, что делает ее находку особенно значимой.
Техническое состояние платформы
Инцидент произошел на фоне серии технических сбоев в работе сервиса. В течение последней недели пользователи сталкивались с проблемами, в частности, с некорректным откатом ранее принятых коммитов — изменений в коде. На этом фоне внутри компании нарастает беспокойство: сотрудники отмечают участившиеся технические проблемы, негативно влияющие на репутацию GitHub, а также фиксируют отток руководящих кадров.
