GitHub з ініцыятывай , накіраванай на арганізацыю сумеснай працы экспертаў па бяспецы з розных кампаній і арганізацый для выяўлення ўразлівасцяў і садзейнічанню па іх устараненню ў кодзе адкрытых праектаў.
Для падключэння да ініцыятывы запрашаюцца ўсе зацікаўленыя кампаніі і індывідуальныя спецыялісты па камп'ютарнай бяспецы. За выяўленне ўразлівасці выплата ўзнагароды памерам да 3000 долараў, у залежнасці ад небяспекі праблемы і якасці падрыхтоўкі справаздачы. Для адпраўкі звестак аб праблемах прапануецца выкарыстоўваць інструментарый , Які дазваляе сфармаваць шаблон уразлівага кода для выяўлення наяўнасці падобнай уразлівасці ў кодзе іншых праектаў (CodeQL дае магчымасць праводзіць семантычны аналіз кода і фармаваць запыты для пошуку вызначаных канструкцый).
Да ініцыятывы ўжо далучыліся даследчыкі бяспекі з кампаній F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber і
VMWare, якія за апошнія два гады и 105 уразлівасцяў у такіх праектах, як Chromium, libssh2, ядры Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, str rsyslog, Apache Geode і Hadoop.
Прапанаваны ў GitHub жыццёвы цыкл падтрымання бяспекі кода мае на ўвазе, што ўдзельнікі GitHub Security Lab будуць выяўляць уразлівасці, пасля гэтага інфармацыя аб праблемах будзе даводзіцца да мэйнтэйнераў і распрацоўнікаў, якія будуць выпрацоўваць выпраўленні, узгадняць час разгалашэння звестак аб праблеме і інфармаваць залежныя праекты. з ухіленнем уразлівасці. У базе будуць размяшчацца CodeQL-шаблоны, якія дазваляюць не дапусціць паўторнае з'яўленне ўхіленых праблем у прысутным на GitHub кодзе.
Праз інтэрфейс GitHub зараз можна CVE-ідэнтыфікатар для выяўленай праблемы і падрыхтаваць справаздачу, а GitHub ужо сам разашле неабходныя апавяшчэнні і арганізуе іх скаардынаванае выпраўленне. Больш таго, пасля ўхілення праблемы GitHub аўтаматычна адправіць pull-запыты для абнаўлення злучаных з уразлівым праектам залежнасцяў.
GitHub таксама ўвёў у стой каталог уразлівасцяў , у якім публікуюцца звесткі аб уразлівасцях, якія закранаюць праекты на GitHub, і інфармацыя для адсочвання схільных праблемам пакетаў і рэпазітароў. Згадваныя ў каментарах на GitHub CVE-ідэнтыфікатары аўтаматычна зараз спасылаюцца на дэталёвую інфармацыю аб уразлівасці ў прадстаўленай БД. Для аўтаматызацыі працы з БД прапанаваны асобны .
Таксама паведамляецца аб абнаўленні для абароны ад у публічна даступныя рэпазітары
канфідэнцыйных дадзеных, такіх як токены аўтэнтыфікацыі і ключы доступу. Падчас коміта сканер правярае тыпавыя фарматы ключоў і токенаў, якія выкарыстоўваюцца , у тым ліку API Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack і Stripe. У выпадку выяўлення токена сэрвіс-правайдэру накіроўваецца запыт для пацверджання ўцечкі і адклікання скампраметаваных токенаў. З учорашняга дня, апроч раней падтрымліваемых фарматаў, дададзеная падтрымка вызначэння токенаў GoCardless, HashiCorp, Postman і Tencent.
Крыніца: opennet.ru