GitHub met die inisiatief , wat daarop gemik is om die samewerking van sekuriteitskundiges van verskeie maatskappye en organisasies te organiseer om kwesbaarhede te identifiseer en te help om dit uit te skakel in die kode van oopbronprojekte.
Alle belangstellende maatskappye en individuele rekenaarsekuriteitspesialiste word uitgenooi om by die inisiatief aan te sluit. Om die kwesbaarheid te identifiseer betaling van 'n beloning van tot $3000 XNUMX, afhangende van die erns van die probleem en die kwaliteit van die verslag. Ons stel voor dat u die gereedskapstel gebruik om probleeminligting in te dien. , wat jou toelaat om 'n sjabloon van kwesbare kode te genereer om die teenwoordigheid van 'n soortgelyke kwesbaarheid in die kode van ander projekte te identifiseer (CodeQL maak dit moontlik om semantiese analise van kode uit te voer en navrae te genereer om na sekere strukture te soek).
Sekuriteitsnavorsers van F5, Google, HackerOne, Intel, IOActive, J.P. het reeds by die inisiatief aangesluit. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber en
VMWare, wat die afgelope twee jaar и 105 kwesbaarhede in projekte soos Chromium, libssh2, Linux-kern, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, , Apache Geode en Hadoop.
GitHub se voorgestelde kode-sekuriteitslewensiklus behels dat lede van GitHub Security Lab kwesbaarhede identifiseer, wat dan aan instandhouers en ontwikkelaars gekommunikeer sal word, wat regstellings sal ontwikkel, koördineer wanneer om die probleem bekend te maak, en afhanklike projekte inlig om die weergawe te installeer. met die uitskakeling van die kwesbaarheid. Die databasis sal CodeQL-sjablone bevat om die herverskyning van opgelosde probleme in die kode wat op GitHub voorkom, te voorkom.
Deur die GitHub-koppelvlak kan jy nou CVE identifiseerder vir die geïdentifiseerde probleem en berei 'n verslag voor, en GitHub self sal die nodige kennisgewings uitstuur en hul gekoördineerde regstelling organiseer. Boonop, sodra die probleem opgelos is, sal GitHub outomaties trekversoeke indien om afhanklikhede wat met die geaffekteerde projek geassosieer word, op te dateer.
GitHub het ook 'n lys van kwesbaarhede bygevoeg , wat inligting publiseer oor kwesbaarhede wat projekte op GitHub beïnvloed en inligting om geaffekteerde pakkette en bewaarplekke op te spoor. CVE-identifiseerders wat in kommentaar op GitHub genoem word, skakel nou outomaties na gedetailleerde inligting oor die kwesbaarheid in die databasis wat ingedien is. Om werk met die databasis te outomatiseer, 'n aparte .
Opdatering word ook gerapporteer teen te beskerm na publiek toeganklike bewaarplekke
sensitiewe data soos verifikasietokens en toegangsleutels. Tydens 'n commit kontroleer die skandeerder die tipiese sleutel- en tokenformate wat gebruik word , insluitend Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack en Stripe. As 'n teken geïdentifiseer word, word 'n versoek aan die diensverskaffer gestuur om die lekkasie te bevestig en die gekompromitteerde tekens te herroep. Vanaf gister, benewens voorheen ondersteunde formate, is ondersteuning vir die definisie van GoCardless-, HashiCorp-, Postman- en Tencent-tokens bygevoeg.
Bron: opennet.ru