GitHub cù l'iniziativa , destinatu à urganizà a cullaburazione di l'esperti di sicurezza da diverse cumpagnie è urganisazione per identificà e vulnerabilità è aiutanu à eliminà in u codice di prughjetti open source.
Tutte e cumpagnie interessate è i specialisti individuali di sicurezza di l'informatica sò invitati à unisce à l'iniziativa. Per identificà a vulnerabilità pagamentu di una ricumpensa finu à $ 3000, secondu a gravità di u prublema è a qualità di u rapportu. Suggeremu d'utilizà u toolkit per invià l'infurmazioni di prublema. , chì permette di generà un mudellu di codice vulnerabile per identificà a prisenza di una vulnerabilità simili in u codice di altri prughjetti (CodeQL permette di fà l'analisi semantica di u codice è generà dumande per circà certe strutture).
Ricercatori di sicurezza di F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber è
VMWare, chì in l'ultimi dui anni и 105 vulnerabilità in prughjetti cum'è Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rs , Apache Geode è Hadoop.
U ciclu di vita di sicurezza di codice prupostu di GitHub implica chì i membri di u Laboratoriu di Sicurezza di GitHub identificanu e vulnerabilità, chì saranu poi comunicate à i manutentori è i sviluppatori, chì svilupperanu correzioni, coordineranu quandu divulgà u prublema, è informanu i prughjetti dipendenti per installà a versione cù l'eliminazione di a vulnerabilità. A basa di dati cuntene mudelli CodeQL per impediscenu a riapparizione di prublemi risolti in u codice presente in GitHub.
Per mezu di l'interfaccia GitHub pudete avà Identificatore CVE per u prublema identificatu è preparanu un rapportu, è GitHub stessu mandarà e notificazioni necessarie è urganizà a so correzione coordinata. Inoltre, una volta chì u prublema hè risolta, GitHub invià automaticamente e richieste di pull per aghjurnà e dipendenze assuciate cù u prugettu affettatu.
GitHub hà ancu aghjustatu una lista di vulnerabili , chì publica l'infurmazioni nantu à e vulnerabilità chì afectanu i prughjetti in GitHub è l'infurmazioni per seguità i pacchetti è i repositori affettati. L'identificatori CVE citati in i cumenti nantu à GitHub avà automaticamente liganu à infurmazioni detallate nantu à a vulnerabilità in a basa di dati sottumessa. Per automatizà u travagliu cù a basa di dati, un separatu .
L'aghjurnamentu hè ancu informatu per pruteggiri contru à i repositori accessibili publicamente
dati sensibili cum'è tokens d'autentificazione è chjave d'accessu. Durante un impegnu, u scanner verifica i formati tipici di chjave è token utilizati , cumprese Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack è Stripe. Se un token hè identificatu, una dumanda hè mandata à u fornitore di serviziu per cunfirmà a fuga è revocà i tokens compromessi. Da ieri, in più di formati supportati prima, u supportu per a definizione di i tokens GoCardless, HashiCorp, Postman è Tencent hè statu aghjuntu.
Source: opennet.ru