GitHub стартира съвместен проект за идентифициране на уязвимости в софтуера с отворен код

GitHub говореше с инициатива Лаборатория за сигурност на GitHub, насочен към организиране на сътрудничеството на експерти по сигурността от различни компании и организации за идентифициране на уязвимости и подпомагане на премахването им в кода на проекти с отворен код.

Всички заинтересовани фирми и отделни специалисти по компютърна сигурност са поканени да се включат в инициативата. За идентифициране на уязвимостта предвидено изплащане на награда до $3000, в зависимост от сериозността на проблема и качеството на доклада. Предлагаме да използвате инструментариума за изпращане на информация за проблема. CodeQL, което ви позволява да генерирате шаблон на уязвим код, за да идентифицирате наличието на подобна уязвимост в кода на други проекти (CodeQL прави възможно провеждането на семантичен анализ на кода и генерирането на заявки за търсене на определени структури).

Изследователи по сигурността от F5, Google, HackerOne, Intel, IOActive, J.P. вече се присъединиха към инициативата. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber и
VMWare, която през последните две години разкри и ми помогна да го поправя 105 уязвимости в проекти като Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog , Apache Geode и Hadoop.

Предложеният жизнен цикъл на сигурността на кода на GitHub включва членове на GitHub Security Lab, идентифициращи уязвимости, които след това ще бъдат съобщени на поддържащите и разработчиците, които ще разработят корекции, ще координират кога да разкрият проблема и ще информират зависимите проекти да инсталират версията с елиминиране на уязвимостта. Базата данни ще съдържа шаблони на CodeQL, за да се предотврати повторното появяване на разрешени проблеми в кода, присъстващ в GitHub.

Чрез интерфейса GitHub вече можете получавам CVE идентификатор за идентифицирания проблем и изготвя доклад, а GitHub сам ще изпрати необходимите известия и ще организира координираната им корекция. Освен това, след като проблемът бъде разрешен, GitHub автоматично ще изпрати заявки за изтегляне за актуализиране на зависимости, свързани със засегнатия проект.

GitHub също добави списък с уязвимости База данни за консултации на GitHub, който публикува информация за уязвимости, засягащи проекти в GitHub, и информация за проследяване на засегнатите пакети и хранилища. Идентификаторите на CVE, споменати в коментарите в GitHub, вече автоматично се свързват с подробна информация за уязвимостта в изпратената база данни. За автоматизиране на работата с базата данни, отделен API.

Отчита се и актуализация обслужване за защита срещу хитове към публично достъпни хранилища
чувствителни данни като токени за удостоверяване и ключове за достъп. По време на ангажимент скенерът проверява използваните типични формати на ключ и токен 20 облачни доставчици и услуги, включително Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack и Stripe. Ако бъде идентифициран токен, се изпраща заявка до доставчика на услугата за потвърждаване на изтичането и отмяна на компрометираните токени. От вчера, в допълнение към предварително поддържаните формати, е добавена поддръжка за дефиниране на токени GoCardless, HashiCorp, Postman и Tencent.

Източник: opennet.ru