主要内容
GitHub员工上月在不到6小时内修复了一个关键远程代码执行漏洞。该漏洞由Wiz Research通过AI模型发现,存在于GitHub内部Git基础设施中,可能影响数百万公开和私有代码仓库。
GitHub首席信息安全官Alexis Wales表示,安全团队在40分钟内复现并确认漏洞严重性,随后工程团队1小时内开发出修复方案并部署到GitHub.com和GitHub企业版服务器,2小时内验证修复有效且未发现利用痕迹,整个修复流程在漏洞报告后6小时内完成。
值得关注的是,这是首次通过AI在闭源二进制文件中发现的关键漏洞之一,标志着漏洞识别方式的转变。Wiz安全研究员Sagi Tzadik指出,尽管GitHub底层系统复杂,但该漏洞“极易利用”,此次发现因严重性和影响被纳入GitHub漏洞赏金计划最高奖励级别,凸显了专业研究人员提问能力的重要性。
此次重大漏洞发现正值GitHub频发服务中断之际。过去几天,GitHub出现随机回滚用户合并提交的故障,上周还发生其他服务中断,员工对公司可靠性表达担忧,认为“公司因严重故障声誉受损,领导团队大量离职”。
