Сотрудники GitHub исправили критическую уязвимость удаленного выполнения кода менее чем за шесть часов в прошлом месяце.

Обнаружение уязвимости

Исследователи из Wiz Research использовали модели машинного обучения (machine learning) для обнаружения уязвимости во внутренней инфраструктуре GitHub, которая могла бы позволить атакующим получить доступ к миллионам публичных и частных репозиториев кода.

Быстрое реагирование

«Наша команда безопасности сразу же начала проверять отчет о баг-банте. Через 40 минут мы смогли воспроизвести уязвимость и подтвердить ее серьезность», - рассказывает Алексис Уэйлс, главный офицер безопасности GitHub. «Это была критическая проблема, требовавшая немедленного действия».

Инженерная команда GitHub разработала исправление и развернула его оперативно, предотвратив потенциальные атаки.

GitHub employees fixed a critical remote code execution vulnerability in less than six hours last month. Wiz Research used AI models to uncover a vulnerability in GitHub's internal git infrastructure that could have allowed attackers to access millions of public and private code repositories.

"Our security team immediately began validating the bug bounty report. Within 40 minutes, we had reproduced the vulnerability internally and confirmed the severity," explains Alexis Wales, GitHub chief information security officer. "This was a critical issue that required immediate action."

GitHub's engineering team developed a fix and deployed it jus …

Read the full story at The Verge.