GitHub sa inicijativom , čiji je cilj organizovanje saradnje stručnjaka za bezbednost iz različitih kompanija i organizacija za identifikaciju ranjivosti i pomoć u njihovom eliminisanju u kodu projekata otvorenog koda.
Pozivaju se sve zainteresovane kompanije i individualni stručnjaci za računarsku bezbednost da se pridruže inicijativi. Za identifikaciju ranjivosti isplata nagrade do 3000 dolara, ovisno o ozbiljnosti problema i kvaliteti izvještaja. Predlažemo korištenje alata za slanje informacija o problemu. , koji vam omogućava da generišete šablon ranjivog koda za identifikaciju prisutnosti slične ranjivosti u kodu drugih projekata (CodeQL omogućava provođenje semantičke analize koda i generisanje upita za traženje određenih struktura).
Istraživači sigurnosti iz F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber i
VMWare, koji je u protekle dvije godine и 105 ranjivosti u projektima kao što su Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwangnite, Aparsys , Apache Geode i Hadoop.
Predloženi životni ciklus sigurnosti koda GitHub-a uključuje članove GitHub Security Lab-a koji identifikuju ranjivosti, koje će zatim biti saopštene održavaocima i programerima, koji će razviti popravke, koordinirati kada da otkriju problem i informišu zavisne projekte da instaliraju verziju uz eliminaciju ranjivosti. Baza podataka će sadržavati CodeQL šablone kako bi se spriječilo ponovno pojavljivanje riješenih problema u kodu prisutnom na GitHubu.
Sada možete preko GitHub interfejsa CVE identifikator za identifikovani problem i pripremiti izveštaj, a GitHub će sam poslati potrebna obaveštenja i organizovati njihovu koordiniranu ispravku. Štaviše, kada se problem riješi, GitHub će automatski poslati zahtjeve za povlačenjem za ažuriranje zavisnosti povezanih sa pogođenim projektom.
GitHub je također dodao listu ranjivosti , koji objavljuje informacije o ranjivostima koje utiču na projekte na GitHub-u i informacije za praćenje pogođenih paketa i spremišta. CVE identifikatori koji se spominju u komentarima na GitHub-u sada se automatski povezuju sa detaljnim informacijama o ranjivosti u dostavljenoj bazi podataka. Za automatizaciju rada sa bazom podataka, poseban .
Ažuriranje je također prijavljeno zaštititi od na javno dostupna spremišta
osjetljive podatke kao što su tokeni za autentifikaciju i pristupni ključevi. Tokom urezivanja, skener provjerava tipične korištene formate ključeva i tokena , uključujući Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack i Stripe. Ako je token identificiran, provajderu se šalje zahtjev da potvrdi curenje i opozove kompromitovane tokene. Od jučer je, pored prethodno podržanih formata, dodata podrška za definisanje GoCardless, HashiCorp, Postman i Tencent tokena.
izvor: opennet.ru