1. 在你进入Github几个月后,有什么事情让你感到惊讶吗?比如说,哇,我没想到会是这样子的或者这比我预期的要困难一些?
Mike Hanley:这是一个很好的序言来介绍GitHub和我是如何相遇的,时机非常巧合,我认为这在某种程度上也影响了过去一年的经历。回到2020年12月,你会记得那个时间段,在那个星期天下午和晚上他们举行新闻发布会时,我们迅速从“嘿,FireEye发生了安全事件”转变为“每个人都发生了安全事件”。我想我的第一次与Nat Friedman交谈就是在接下来的那周左右,“嘿,你觉得来GitHub担任CSO怎么样?”当时我看待这个机会的方式特别是在软件领域正在发生的一切背景下——这将以前所未有的方式进入主流市场,尤其是关于软件安全方面,并且试图从开发者和开源软件之家中产生积极影响。对我而言,在那里尝试产生积极影响似乎是一个不错的选择。正如您所知道并能够理解的那样,最重要的事情对我来说就是人和影响力。因此它最终成为一个非常引人注目、具有吸引力、充满机遇并且可以让我们扩大组织规模三倍以利用机会的时刻。因此,这是一个招聘和发展团队以及扩大一些功能的强烈年份,但在保护GitHub业务和平台、确保它成为人们聚集、创建、交流社区并发布开发者无处不在的项目和创造力的安全可靠之地方面,我们完全做到了,并且还可以帮助那些开发者提供更加安全的项目并具有易于使用的安全工具。对他们来说,这非常重要,可以确保他们所发布的内容具有某些安全属性,在没有我们帮助下本来不可能实现。
2. 你提到吸引你的其中一件事情是有机会对大量人产生重大影响。这让我想起了2000年代初微软Windows推广的早期阶段。我相信这也是帮助你吸引人才的原因之一,因为你可以呈现出其他组织很少能够提供的机会?
Mike Hanley:是的,绝对如此。我认为GitHub不仅是一个独特的平台可以产生影响,而且团队的结构和组成也很独特,对吧?在许多公司中,“CISO”可能意味着很多不同的事情。但在这里,我认为它是以最皇家的方式存在的角色之一,因为我们还有像机器学习小组这样规模内部进行反滥用工作,并且该小组正在平台上进行非常有趣和新颖的威胁检测和预防工作,在那种规模、范围和复杂性下只有少数地方才存在类似挑战。我的意思是,在大多数安全团队中甚至不存在这个功能,因为它根本没有那种问题类型。所以,在吸引、留住和发展人才方面非常有帮助,因为你几乎看不到我们必须处理但只有极少数互联网公司才会遇到问题。
3. 从 GitHub 内部来看,当 Log4j 事件发生时,情况如何??
Mike Hanley:当然,我们和其他人一样,在听到发生的事情后立即启动了我们的事件响应程序。可能对我们来说比较独特的一件事是,GitHub这里负责管理咨询数据库的团队从讨论开始就参与其中,因为我们的首要任务是确保能够保护依赖于我们平台安全性以及开发者和客户所需要的信息来保护自己、项目和客户,并在更广泛地协调和共享信息方面提供帮助。我认为花了几个小时才意识到这件事情与Heartbleed一样严重,并具有相似规模和潜在影响力。幸运的是,Alvaro(他是我们团队中一个成员)实际上在2016年黑帽大会上就曾经谈过这些JNDI问题。因此,当时已经有人探索过这种漏洞类型数年之久并加入了我们公司。
随着我们逐步解决事件响应程序中出现的问题,它看起来很像其他公司也会做出类似评估暴露程度、确定需要修复什么等操作;同时启动进程使得GitHub.com网站正常运行并确保企业服务器客户端也同样稳定。值得注意的是,在Log4j事件发生前不久,我们实际上已经发布了一个新的GitHub代码搜索平台,这是一种非常新颖和先进的改进方式,可以帮助人们在GitHub.com上搜索和发现代码。其中一个早期数据集就是我们自己内部代码库,并且在接下来的几周里,我们可能会将其详细情况写出并分享给大家。这极大地缩短了我们全面评估暴露程度、确定哪些地方使用Log4j以及需要采取什么措施等问题所需的时间。从第一方角度出发解决问题并确保网站正常运行也变得更加容易。当晚,我们已经开始向生产线推送缓解措施。
4. 我知道在安全社区和开发者社区中,关于开源维护者和开发人员需要资源的讨论经常进行。他们可以使用资金,也可以使用代码审查或类似的东西。从你的经验来看,Mike,在公司内部产品层面上的人是否理解一些产品对这些开源项目有多么依赖?
Mike Hanley:也许吧。我是想再回到你刚才提到的那个点上,作为一个行业,我们能够为开发人员提供更多支持,使安全性自然而然地发生或在他们试图做的事情背景下发生得越多,对于我们来说就越好。 我们认为,在这方面GitHub处于一个特别独特的位置,并且这也是我们免费向开源项目提供大量安全工具的原因之一,以帮助开源项目在第一时间不会出现错误,因为他们使用了我们提供给他们的GitHub代码扫描功能。至于你问题中关于产品团队及其对此理解和欣赏程度的第二部分, 我认为好消息是这可能正在变得更好, 部分原因是因为我们看到了像SBOM等监管方面推动力度增加. 我并不是说SBOM可以解决所有问题, 但它确实会影响需要销售软件以产生收入来运营业务的人群. 公共部门可以通过例如联邦政府成为世界上最大的软件买家之一来创造市场. 但如果他们表示需要某些东西(如SBOM),则企业将必须提供这些文档并找出如何做到这一点。当然 SBOM 至少会导致对您正在打包和发送的东西有一定程度的了解,无论是作为收缩包装软件还是作为云服务提供给政府。所以我认为情况正在变得越来越好。
仅靠自上而下的监管力量,无法使开源安全变得更好。
5. 我知道你上个月去了白宫参加了这次开源安全峰会。首先,当你收到那封电子邮件或电话时感觉如何?在你认为它可能是真实的之前,你经历了多少层“这绝对是钓鱼”的阶段?
Mike Hanley:是的,那是个很好的问题。有几个方面。我想在23号时,我的老板收到了国家安全委员会工作人员的来信,说他们希望你派遣最高级别的安全人员参加我们将于一月中旬在白宫举行的开源安全峰会。所以我在圣诞节前收到了这个通知,然后我们在1月份回来后的第一周基本上与国家安全委员会工作人员合作,为真正一个研讨会做准备。你知道吗?我必须要赞扬白宫和这届政府采取这种方式非常明智,因为有时候你把这些团体聚集起来每个人都只有15分钟进行简报,并且最后进行讨论然后大家就回家了, 但是这次不同, 我认为把参与者聚集起来并确保成为一个实际工作场所是非常明智之选,在那里我们试图解决具体问题、对优先事项达成共识,并找出如何利用公私伙伴关系以及重点产业工作组等正在专注于私营部门努力(例如开源安全基金会) 的关键行业工作组协同推进所有事情. 这是明智的,因为仅靠自上而下的监管力量不会使开源安全变得更好,很棒的是这届政府认识到了这一点,并且正在寻求找出我们如何利用我们独特的优势和位置来改善这种情况。所以GitHub有一些东西在我们控制范围内,作为大多数开源项目存在的平台,我们可以做些事情;其他组织(例如Google、Microsoft或Apache软件基金会)同样具有独特的杠杆或能力或影响力,无论是财务方面还是他们参与和控制的生态系统或者他们管理下面向公众开放使用并进行维护更新等方面。所有这些都代表着互补联动重要方式, 以补充联邦政府通过监管规则、采购规则等能够实现的事情。所以这真正鼓舞人心。你也经历过类似场合,在一个行业工作组中进入房间时感觉就像家庭聚会一样, 我认为非常棒. 所以我觉得对话真正从头开始讨论如何共同完成此项工作,并与拜登政府合作取得实质性进展。
6. 那么,你期望这个的具体结果是什么?
Mike Hanley: 白宫的邀请是在我们已经开始OpenSSF新闻周期的时候发出的,我和其他几位公司代表于去年11月加入了OpenSSF董事会,并且我们实际上在11月中旬就在Napa进行了董事会启动。因此,我们已经在讨论下一个大型行业合作计划方面有所交流。所以这次邀请感觉很自然。像微软和谷歌团队不久前与OpenSSF一起宣布的Alpha and Omega项目等工作都非常出色,其中一个是深入研究人们依赖的开源项目列表并帮助他们具体而持久地改善其安全性;另一个则是广泛推广并为每个人提供这些实质性好处。这些类型的工作已经在进行中,例如GitHub正在向开源项目提供代码扫描或秘密扫描等服务,同样也具有普及效应。因此,在联邦政府知道我们想要做什么并试图找到与标准机构(如NIST或国家安全委员会)合作的方式来完成任务时,能够做到这些类型的工作将有助于确保我们继续共同推进该计划。我认为不利之处就是你不希望人们只写支票就走开,或者你不希望人们去象牙塔里说我们要做X,然后会议结束后什么都没有发生。我认为这项工作的自然延续已经通过OpenSSF在进行中了,这非常棒,而一些参与者仍将继续做出他们独特控制下的贡献。
原文链接: https://duo.com/decipher/q-and-a-mike-hanley 如有侵权,请及时联系本人删除
