Падобна, што кіраўніцтва GitHub сур'ёзна задумалася аб бяспецы ПЗ. Спачатку было сховішча дадзеных на Шпіцбергене і фінансавай падтрымкі распрацоўшчыкаў. А зараз ініцыятыва GitHub Security Lab, якая прадугледжвае ўдзел усіх зацікаўленых спецыялістаў у паляпшэнні бяспекі адкрытага ПЗ.
У ініцыятыве ўжо ўдзельнічаюць F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber і VMWare. Яны за апошнія два гады дапамаглі выявіць і ўстараніць 105 уразлівасцей у шэрагу праектаў.
Іншым удзельнікам абяцаны ўзнагароды да $3000 за выяўленыя ўразлівасці. У інтэрфейсе GitHub ужо даступная магчымасць атрымаць CVE-ідэнтыфікатар для праблемы і стварыць справаздачу аб ёй. Уведзены ў строй каталог уразлівасцяў , які змяшчае звесткі аб праблемах з прыкладаннямі, размешчанымі на GitHub, уразлівых пакетах і гэтак далей.
Акрамя таго, у сістэму ўжо дадалі абноўленую абарону, якая сочыць, каб персанальныя і канфідэнцыйныя дадзеныя, накшталт токенаў, ключоў і да таго падобных, не патрапілі ў публічныя рэпазітары. Як сцвярджаецца, сістэма аўтаматычна скануе фарматы ключоў ад 20 сэрвісаў і хмарных сістэм. Калі выяўляецца праблема, то сэрвіс-правайдэру накіроўваецца запыт для пацверджання праблемы і водгуку скампраметаваных ключоў.
Адзначым, што раней GitHub быў набыты кампаніяй Microsoft. Падобна, што ў Рэдмандзе вырашылі сур'ёзна ўзяцца за бяспеку дадзеных.
Крыніца: 3dnews.ru