GitHub инициира проект за търсене на уязвимости в софтуера с отворен код

Изглежда, че ръководството на GitHub сериозно мисли за софтуерната сигурност. Първо имаше склад за данни в Свалбард и проект финансова подкрепа за разработчиците. И сега се появи инициативата GitHub Security Lab, която включва участието на всички заинтересовани специалисти в подобряването на сигурността на софтуера с отворен код.

F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber и VMWare вече участват в инициативата. През последните две години те помогнаха за идентифицирането и премахването на 105 уязвимости в редица проекти.

На други участници бяха обещани награди до $3000 за идентифицирани уязвимости. Интерфейсът GitHub вече има способността да получи CVE идентификатора за проблем и да създаде отчет за него. Стартиран е каталог на уязвимостите База данни за консултации на GitHub, съдържаща информация за проблеми с приложения, хоствани на GitHub, уязвими пакети и т.н.

Освен това към системата вече е добавена актуализирана защита, която гарантира, че лични и поверителни данни, като токени, ключове и други подобни, няма да попаднат в публични хранилища. Твърди се, че системата автоматично сканира ключови формати от 20 услуги и облачни системи. Ако бъде открит проблем, се изпраща заявка до доставчика на услугата за потвърждаване на проблема и отмяна на компрометираните ключове.

Имайте предвид, че GitHub беше придобит преди това от Microsoft. Изглежда Редмънд е решил да вземе сериозно сигурността на данните.

Източник: 3dnews.ru