Det ser ud til, at GitHub-ledelsen seriøst tænker på softwaresikkerhed. Først var der et datavarehus på Svalbard og økonomisk støtte til udviklere. Og nu initiativet GitHub Security Lab, som involverer deltagelse af alle interesserede specialister i at forbedre sikkerheden i open source-software.
F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber og VMWare deltager allerede i initiativet. I løbet af de sidste to år har de hjulpet med at identificere og eliminere 105 sårbarheder i en række projekter.
Andre deltagere blev lovet belønninger på op til $3000 for identificerede sårbarheder. GitHub-grænsefladen har allerede mulighed for at få CVE-identifikationen for et problem og oprette en rapport om det. Et katalog over sårbarheder er blevet lanceret , der indeholder oplysninger om problemer med programmer hostet på GitHub, sårbare pakker og så videre.
Derudover er der allerede tilføjet en opdateret beskyttelse til systemet, som sikrer, at personlige og fortrolige data, såsom tokens, nøgler og lignende, ikke ender i offentlige depoter. Angiveligt scanner systemet automatisk nøgleformater fra 20 tjenester og cloud-systemer. Hvis der opdages et problem, sendes en anmodning til tjenesteudbyderen om at bekræfte problemet og tilbagekalde de kompromitterede nøgler.
Bemærk, at GitHub tidligere blev købt af Microsoft. Det ser ud til, at Redmond har besluttet at tage datasikkerhed alvorligt.
Kilde: 3dnews.ru