GitHub uban ang inisyatiba , nga nagtumong sa pag-organisar sa kolaborasyon sa mga eksperto sa seguridad gikan sa lain-laing mga kompanya ug organisasyon sa pag-ila sa mga kahuyangan ug pagtabang sa pagwagtang kanila sa code sa open source nga mga proyekto.
Ang tanan nga interesado nga mga kompanya ug indibidwal nga mga espesyalista sa seguridad sa kompyuter giimbitahan sa pag-apil sa inisyatiba. Alang sa pag-ila sa kahuyang pagbayad sa ganti nga hangtod sa $3000, depende sa kagrabe sa problema ug sa kalidad sa taho. Among gisugyot ang paggamit sa toolkit sa pagsumite sa impormasyon sa problema. , nga nagtugot kanimo sa pagmugna og usa ka template sa mahuyang nga code aron mahibal-an ang presensya sa usa ka susama nga kahuyang sa code sa ubang mga proyekto (Ang CodeQL nagpaposible sa pagpahigayon sa semantic analysis sa code ug pagmugna og mga pangutana sa pagpangita sa pipila ka mga istruktura).
Ang mga tigdukiduki sa seguridad gikan sa F5, Google, HackerOne, Intel, IOActive, J.P. miapil na sa inisyatiba. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber ug
VMWare, nga sa miaging duha ka tuig ΠΈ 105 nga mga kahuyangan sa mga proyekto sama sa Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsy , Apache Geode ug Hadoop.
Ang gisugyot nga code sa kinabuhi sa seguridad sa code sa GitHub naglambigit sa mga miyembro sa GitHub Security Lab nga nag-ila sa mga kahuyangan, nga ipahibalo dayon sa mga nagmintinar ug mga developer, nga maghimo mga pag-ayo, makigkoordinar kung kanus-a ibutyag ang isyu, ug ipahibalo ang mga nagsalig nga proyekto aron ma-install ang bersyon. uban ang pagwagtang sa pagkahuyang. Ang database maglangkob sa mga template sa CodeQL aron mapugngan ang pagbalik sa mga nasulbad nga mga problema sa code nga naa sa GitHub.
Pinaagi sa interface sa GitHub mahimo nimo karon CVE identifier para sa giila nga problema ug mag-andam ug report, ug ang GitHub mismo ang magpadala sa gikinahanglang mga pahibalo ug mag-organisar sa ilang koordinasyon nga pagtul-id. Dugang pa, kung masulbad na ang isyu, awtomatiko nga isumite sa GitHub ang mga hangyo sa pagbitad aron ma-update ang mga dependency nga may kalabotan sa naapektuhan nga proyekto.
Nagdugang usab ang GitHub og lista sa mga kahuyangan , nga nagpatik sa impormasyon bahin sa mga kahuyangan nga nakaapekto sa mga proyekto sa GitHub ug impormasyon aron masubay ang mga apektadong pakete ug mga repositoryo. Ang mga identifier sa CVE nga gihisgutan sa mga komento sa GitHub karon awtomatiko nga nag-link sa detalyado nga kasayuran bahin sa pagkahuyang sa gisumite nga database. Aron ma-automate ang pagtrabaho sa database, usa ka bulag .
Gi-report usab ang pag-update sa pagpanalipod batok sa ngadto sa publikong ma-access nga mga repositoryo
sensitibo nga datos sama sa authentication token ug access keys. Atol sa usa ka commit, ang scanner nagsusi sa tipikal nga yawe ug token format nga gigamit , lakip ang Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack ug Stripe. Kung nahibal-an ang usa ka token, usa ka hangyo ang ipadala sa service provider aron makumpirma ang pagtulo ug bawion ang nakompromiso nga mga token. Kaniadtong kagahapon, dugang sa gisuportahan kaniadto nga mga format, gidugang ang suporta alang sa pagtino sa mga token sa GoCardless, HashiCorp, Postman ug Tencent.
Source: opennet.ru