GitHub amb iniciativa , destinada a organitzar la col·laboració d'experts en seguretat de diverses empreses i organitzacions per identificar vulnerabilitats i ajudar a eliminar-les en el codi dels projectes de codi obert.
Totes les empreses interessades i especialistes en seguretat informàtica individual estan convidades a unir-se a la iniciativa. Per identificar la vulnerabilitat pagament d'una recompensa de fins a 3000 dòlars, depenent de la gravetat del problema i de la qualitat de l'informe. Us suggerim que utilitzeu el conjunt d'eines per enviar la informació del problema. , que permet generar una plantilla de codi vulnerable per identificar la presència d'una vulnerabilitat similar en el codi d'altres projectes (CodeQL permet realitzar anàlisi semàntica de codi i generar consultes per buscar determinades estructures).
Investigadors de seguretat de F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber i
VMWare, que durant els últims dos anys и 105 vulnerabilitats en projectes com ara Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode i Hadoop.
El cicle de vida de seguretat del codi proposat de GitHub implica que els membres de GitHub Security Lab identifiquin vulnerabilitats, que després es comunicaran als mantenedors i desenvolupadors, que desenvoluparan solucions, coordinaran quan revelar el problema i informaran els projectes dependents per instal·lar la versió per eliminar la vulnerabilitat. La base de dades contindrà plantilles de CodeQL per evitar la reaparició de problemes resolts en el codi present a GitHub.
A través de la interfície de GitHub ara podeu identificador CVE per al problema identificat i preparar un informe, i el mateix GitHub enviarà les notificacions necessàries i n'organitzarà la correcció coordinada. A més, un cop resolt el problema, GitHub enviarà automàticament sol·licituds d'extracció per actualitzar les dependències associades al projecte afectat.
GitHub també ha afegit una llista de vulnerabilitats , que publica informació sobre vulnerabilitats que afecten els projectes a GitHub i informació per fer un seguiment dels paquets i repositoris afectats. Els identificadors CVE esmentats als comentaris a GitHub ara enllaçen automàticament a informació detallada sobre la vulnerabilitat a la base de dades enviada. Per automatitzar el treball amb la base de dades, una altra .
També s'informa de l'actualització per protegir contra als repositoris accessibles al públic
dades sensibles, com ara testimonis d'autenticació i claus d'accés. Durant una confirmació, l'escàner comprova els formats típics de clau i testimoni utilitzats , incloent Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack i Stripe. Si s'identifica un testimoni, s'envia una sol·licitud al proveïdor de serveis per confirmar la filtració i revocar els testimonis compromesos. Des d'ahir, a més dels formats admesos anteriorment, s'ha afegit suport per definir fitxes GoCardless, HashiCorp, Postman i Tencent.
Font: opennet.ru
