GitHub gyda menter , gyda'r nod o drefnu cydweithrediad arbenigwyr diogelwch o wahanol gwmnïau a sefydliadau i nodi gwendidau a chynorthwyo i'w dileu yn y cod o brosiectau ffynhonnell agored.
Gwahoddir pob cwmni sydd â diddordeb ac arbenigwyr diogelwch cyfrifiaduron unigol i ymuno â'r fenter. Am adnabod y bregusrwydd talu gwobr o hyd at $3000, yn dibynnu ar ddifrifoldeb y broblem ac ansawdd yr adroddiad. Rydym yn awgrymu defnyddio'r pecyn cymorth i gyflwyno gwybodaeth am broblemau. , sy'n eich galluogi i gynhyrchu templed o god bregus i nodi presenoldeb bregusrwydd tebyg yng nghod prosiectau eraill (mae CodeQL yn ei gwneud hi'n bosibl cynnal dadansoddiad semantig o'r cod a chynhyrchu ymholiadau i chwilio am strwythurau penodol).
Ymchwilwyr diogelwch o F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber a
VMWare, sydd dros y ddwy flynedd ddiwethaf и 105 o wendidau mewn prosiectau fel Chromium, libssh2, cnewyllyn Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Iysgnite, r , Apache Geode a Hadoop.
Mae cylch bywyd diogelwch cod arfaethedig GitHub yn cynnwys aelodau GitHub Security Lab yn nodi gwendidau, a fydd wedyn yn cael eu cyfathrebu i gynhalwyr a datblygwyr, a fydd yn datblygu atgyweiriadau, yn cydlynu pryd i ddatgelu'r mater, ac yn hysbysu prosiectau dibynnol i osod y fersiwn gyda dileu'r bregusrwydd. Bydd y gronfa ddata yn cynnwys templedi CodeQL i atal ailymddangosiad problemau wedi'u datrys yn y cod sy'n bresennol ar GitHub.
Trwy'r rhyngwyneb GitHub gallwch chi nawr Dynodwr CVE ar gyfer y broblem a nodwyd a pharatoi adroddiad, a bydd GitHub ei hun yn anfon yr hysbysiadau angenrheidiol ac yn trefnu eu cywiro cydgysylltiedig. Ar ben hynny, unwaith y bydd y mater wedi'i ddatrys, bydd GitHub yn cyflwyno ceisiadau tynnu yn awtomatig i ddiweddaru dibyniaethau sy'n gysylltiedig â'r prosiect yr effeithir arno.
Mae GitHub hefyd wedi ychwanegu rhestr o wendidau , sy'n cyhoeddi gwybodaeth am wendidau sy'n effeithio ar brosiectau ar GitHub a gwybodaeth i olrhain pecynnau ac ystorfeydd yr effeithir arnynt. Mae dynodwyr CVE a grybwyllir mewn sylwadau ar GitHub bellach yn cysylltu'n awtomatig â gwybodaeth fanwl am y bregusrwydd yn y gronfa ddata a gyflwynwyd. I awtomeiddio gwaith gyda'r gronfa ddata, ar wahân .
Adroddir diweddariad hefyd i amddiffyn yn erbyn i gadwrfeydd sy'n hygyrch i'r cyhoedd
data sensitif fel tocynnau dilysu ac allweddi mynediad. Yn ystod ymrwymiad, mae'r sganiwr yn gwirio'r fformatau allwedd a thocyn nodweddiadol a ddefnyddir , gan gynnwys Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack a Stripe. Os canfyddir tocyn, anfonir cais at y darparwr gwasanaeth i gadarnhau'r gollyngiad a dirymu'r tocynnau dan fygythiad. O ddoe, yn ogystal â fformatau a gefnogwyd yn flaenorol, mae cefnogaeth ar gyfer diffinio tocynnau GoCardless, HashiCorp, Postman a Tencent wedi'i ychwanegu.
Ffynhonnell: opennet.ru