GitHub s iniciativou , zaměřené na organizaci spolupráce bezpečnostních expertů z různých společností a organizací s cílem identifikovat zranitelnosti a pomoci při jejich odstraňování v kódu open source projektů.
Všechny zainteresované společnosti a jednotliví specialisté na počítačovou bezpečnost jsou zváni, aby se připojili k iniciativě. Pro identifikaci zranitelnosti vyplacení odměny až 3000 XNUMX USD v závislosti na závažnosti problému a kvalitě zprávy. Doporučujeme použít sadu nástrojů k odeslání informací o problému. , který umožňuje vygenerovat šablonu zranitelného kódu pro identifikaci přítomnosti podobné zranitelnosti v kódu jiných projektů (CodeQL umožňuje provádět sémantickou analýzu kódu a generovat dotazy pro hledání určitých struktur).
Bezpečnostní výzkumníci z F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber a
VMWare, který za poslední dva roky и 105 zranitelností v projektech, jako jsou Chromium, libssh2, Linuxové jádro, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongsyslognite, Apache Ipache Ipache ImSygnite, Apache , Apache Geode a Hadoop.
Navrhovaný životní cyklus zabezpečení kódu GitHubu zahrnuje členy bezpečnostní laboratoře GitHub, kteří identifikují zranitelnosti, o kterých budou poté informováni správci a vývojáři, kteří vyvinou opravy, koordinují, kdy mají problém zveřejnit, a informují závislé projekty, aby si verzi nainstalovaly. Databáze bude obsahovat šablony CodeQL, aby se zabránilo opětovnému výskytu vyřešených problémů v kódu na GitHubu.
Prostřednictvím rozhraní GitHub nyní můžete CVE identifikátor pro identifikovaný problém a připravit zprávu a GitHub sám rozešle potřebná upozornění a zorganizuje jejich koordinovanou nápravu. Jakmile bude problém vyřešen, GitHub navíc automaticky odešle žádosti o aktualizaci závislostí souvisejících s dotčeným projektem.
GitHub také přidal seznam zranitelností , která publikuje informace o zranitelnostech ovlivňujících projekty na GitHubu a informace o sledování postižených balíčků a úložišť. Identifikátory CVE uvedené v komentářích na GitHubu nyní automaticky odkazují na podrobné informace o zranitelnosti v předložené databázi. Pro automatizaci práce s databází je samostatný .
Aktualizace je také hlášena chránit před do veřejně přístupných úložišť
citlivá data, jako jsou autentizační tokeny a přístupové klíče. Během odevzdání skener kontroluje typické používané formáty klíčů a tokenů , včetně Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack a Stripe. Pokud je identifikován token, je poskytovateli služeb odeslán požadavek na potvrzení úniku a odvolání kompromitovaných tokenů. Od včerejška kromě dříve podporovaných formátů přibyla podpora pro definování tokenů GoCardless, HashiCorp, Postman a Tencent.
Zdroj: opennet.ru