GitHub جيثب: بالمبادرة ، تهدف إلى تنظيم التعاون بين خبراء الأمن من مختلف الشركات والمنظمات لتحديد نقاط الضعف والمساعدة في القضاء عليها في كود المشاريع مفتوحة المصدر.
جميع الشركات المهتمة والمتخصصين في مجال أمن الكمبيوتر مدعوون للانضمام إلى المبادرة. للتعرف على الثغرة الأمنية دفع مكافأة تصل إلى 3000 دولار، حسب خطورة المشكلة وجودة التقرير. نقترح استخدام مجموعة الأدوات لإرسال معلومات المشكلة. ، والذي يسمح لك بإنشاء قالب من التعليمات البرمجية الضعيفة لتحديد وجود ثغرة أمنية مماثلة في كود المشاريع الأخرى (يتيح CodeQL إجراء تحليل دلالي للتعليمات البرمجية وإنشاء استعلامات للبحث عن هياكل معينة).
باحثون أمنيون من F5 وGoogle وHackerOne وIntel وIOActive وJP Morgan وLinkedIn وMicrosoft وMozilla وNCC Group وOracle وTrail of Bits وUber و
برنامج VMWare، والذي على مدى العامين الماضيين и 105 نقاط ضعف في مشاريع مثل Chromium، libssh2، Linux kernel، Memcached، UBoot، VLC، Apport، HHVM، Exiv2، FFmpeg، Fizz، libav، Ansible، npm، XNU، Ghostscript، Icecast، Apache Struts، strongSwan، Apache Ignite، rsyslog وأباتشي جيود وHadoop.
تتضمن دورة حياة أمان التعليمات البرمجية المقترحة من GitHub أعضاء GitHub Security Lab الذين يقومون بتحديد الثغرات الأمنية، والتي سيتم بعد ذلك إرسالها إلى المشرفين والمطورين، الذين سيقومون بتطوير الإصلاحات، والتنسيق عند الكشف عن المشكلة، وإبلاغ المشاريع التابعة لتثبيت الإصدار مع إزالة الثغرة الأمنية. ستحتوي قاعدة البيانات على قوالب CodeQL لمنع ظهور المشكلات التي تم حلها مرة أخرى في الكود الموجود على GitHub.
من خلال واجهة GitHub يمكنك الآن معرف CVE للمشكلة المحددة وإعداد تقرير، وسيرسل GitHub نفسه الإخطارات اللازمة وينظم تصحيحها المنسق. علاوة على ذلك، بمجرد حل المشكلة، سيقوم GitHub تلقائيًا بإرسال طلبات السحب لتحديث التبعيات المرتبطة بالمشروع المتأثر.
أضاف GitHub أيضًا قائمة بنقاط الضعف ، الذي ينشر معلومات حول الثغرات الأمنية التي تؤثر على المشاريع على GitHub ومعلومات لتتبع الحزم والمستودعات المتأثرة. أصبحت معرفات CVE المذكورة في التعليقات على GitHub ترتبط الآن تلقائيًا بمعلومات تفصيلية حول الثغرة الأمنية في قاعدة البيانات المقدمة. لأتمتة العمل مع قاعدة البيانات، منفصلة .
تم الإبلاغ عن التحديث أيضًا للحماية من إلى المستودعات التي يمكن الوصول إليها بشكل عام
البيانات الحساسة مثل رموز المصادقة ومفاتيح الوصول. أثناء الالتزام، يتحقق الماسح الضوئي من تنسيقات المفاتيح والرموز النموذجية المستخدمة ، بما في ذلك Alibaba Cloud API وAmazon Web Services (AWS) وAzure وGoogle Cloud وSlack وStripe. إذا تم تحديد رمز مميز، فسيتم إرسال طلب إلى مزود الخدمة لتأكيد التسرب وإلغاء الرموز المميزة المخترقة. اعتبارًا من الأمس، بالإضافة إلى التنسيقات المدعومة سابقًا، تمت إضافة دعم لتحديد الرموز المميزة GoCardless وHashiCorp وPostman وTencent.
المصدر: opennet.ru