Github təşəbbüsü ilə , açıq mənbəli layihələrin kodunda zəiflikləri müəyyən etmək və onların aradan qaldırılmasına kömək etmək üçün müxtəlif şirkət və təşkilatların təhlükəsizlik ekspertlərinin əməkdaşlığını təşkil etmək məqsədi daşıyır.
Bütün maraqlı şirkətlər və fərdi kompüter təhlükəsizliyi mütəxəssisləri təşəbbüsə qoşulmağa dəvət olunur. Zəifliyi müəyyən etmək üçün problemin şiddətindən və hesabatın keyfiyyətindən asılı olaraq 3000 dollara qədər mükafatın ödənilməsi. Problem məlumatlarını təqdim etmək üçün alət dəstindən istifadə etməyi təklif edirik. , bu, digər layihələrin kodunda oxşar zəifliyin mövcudluğunu müəyyən etmək üçün həssas kod şablonunu yaratmağa imkan verir (CodeQL kodun semantik təhlilini aparmağa və müəyyən strukturları axtarmaq üçün sorğular yaratmağa imkan verir).
Təhlükəsizlik tədqiqatçıları F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber və
Son iki il ərzində VMWare и Chromium, libssh105, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, Icecast, Icecast, Ipachersgte, kimi layihələrdə 2 zəiflik , Apache Geode və Hadoop.
GitHub-ın təklif etdiyi kodun təhlükəsizliyinin həyat dövrü GitHub Təhlükəsizlik Laboratoriyasının üzvlərini zəiflikləri müəyyən etməyi əhatə edir, daha sonra bunlar texniki xidmətçilər və tərtibatçılara çatdırılacaq, onlar düzəlişlər hazırlayacaq, problemin nə vaxt açıqlanacağını koordinasiya edəcək və versiyanın quraşdırılması üçün asılı layihələri məlumatlandıracaq. Verilənlər bazası GitHub-da mövcud kodda həll edilmiş problemlərin yenidən görünməsinin qarşısını almaq üçün CodeQL şablonlarını ehtiva edəcəkdir.
GitHub interfeysi vasitəsilə indi edə bilərsiniz Müəyyən edilmiş problem üçün CVE identifikatoru və hesabat hazırlayacaq və GitHub özü lazımi bildirişləri göndərəcək və onların əlaqələndirilmiş düzəlişini təşkil edəcək. Bundan əlavə, problem həll edildikdən sonra GitHub təsirə məruz qalan layihə ilə əlaqəli asılılıqları yeniləmək üçün avtomatik olaraq çəkmə sorğuları göndərəcək.
GitHub həmçinin zəifliklərin siyahısını əlavə edib , GitHub-da layihələrə təsir edən zəifliklər və təsirə məruz qalan paketləri və depoları izləmək üçün məlumatları dərc edir. GitHub-da şərhlərdə qeyd olunan CVE identifikatorları indi avtomatik olaraq təqdim edilmiş verilənlər bazasındakı boşluq haqqında ətraflı məlumatla əlaqələndirilir. Verilənlər bazası ilə işi avtomatlaşdırmaq üçün ayrıca .
Yeniləmə də bildirilir qarşı qorumaq ictimaiyyət üçün açıq olan depolara
autentifikasiya nişanları və giriş açarları kimi həssas məlumatlar. Öhdəlik zamanı skaner istifadə olunan tipik açar və işarə formatlarını yoxlayır , o cümlədən Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack və Stripe. Token müəyyən edilərsə, sızma faktını təsdiqləmək və pozulmuş tokenləri ləğv etmək üçün xidmət təminatçısına sorğu göndərilir. Dünəndən etibarən, əvvəllər dəstəklənən formatlara əlavə olaraq, GoCardless, HashiCorp, Postman və Tencent tokenlərini təyin etmək üçün dəstək əlavə edildi.
Mənbə: opennet.ru