GitHub med initiativ , der har til formål at organisere samarbejdet mellem sikkerhedseksperter fra forskellige virksomheder og organisationer for at identificere sårbarheder og hjælpe med at eliminere dem i koden for open source-projekter.
Alle interesserede virksomheder og individuelle computersikkerhedsspecialister inviteres til at deltage i initiativet. For at identificere sårbarheden udbetaling af en belønning på op til $3000, afhængigt af problemets alvor og kvaliteten af rapporten. Vi foreslår, at du bruger værktøjskassen til at indsende problemoplysninger. , som giver dig mulighed for at generere en skabelon med sårbar kode for at identificere tilstedeværelsen af en lignende sårbarhed i koden for andre projekter (CodeQL gør det muligt at udføre semantisk analyse af kode og generere forespørgsler for at søge efter bestemte strukturer).
Sikkerhedsforskere fra F5, Google, HackerOne, Intel, IOActive, J.P. har allerede tilsluttet sig initiativet. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber og
VMWare, som gennem de seneste to år и 105 sårbarheder i projekter som Chromium, libssh2, Linux-kerne, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, , Apache Geode og Hadoop.
GitHubs foreslåede kodesikkerhedslivscyklus involverer GitHub Security Lab-medlemmer, der identificerer sårbarheder, som derefter vil blive kommunikeret til vedligeholdere og udviklere, som vil udvikle rettelser, koordinere, hvornår problemet skal afsløres, og informere afhængige projekter om at installere versionen. med eliminering af sårbarheden. Databasen vil indeholde CodeQL-skabeloner for at forhindre gentagelse af løste problemer i koden på GitHub.
Gennem GitHub-grænsefladen kan du nu CVE identifikator for det identificerede problem og udarbejde en rapport, og GitHub selv vil udsende de nødvendige meddelelser og organisere deres koordinerede rettelse. Når problemet er løst, vil GitHub desuden automatisk indsende pull-anmodninger for at opdatere afhængigheder forbundet med det berørte projekt.
GitHub har også tilføjet en liste over sårbarheder , som udgiver information om sårbarheder, der påvirker projekter på GitHub og information til at spore berørte pakker og lagre. CVE-identifikatorer nævnt i kommentarer på GitHub linker nu automatisk til detaljerede oplysninger om sårbarheden i den indsendte database. For at automatisere arbejdet med databasen, en separat .
Opdatering er også rapporteret at beskytte sig imod til offentligt tilgængelige depoter
følsomme data såsom autentificeringstokens og adgangsnøgler. Under en commit kontrollerer scanneren de typiske nøgle- og tokenformater, der bruges , herunder Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack og Stripe. Hvis et token identificeres, sendes en anmodning til tjenesteudbyderen om at bekræfte lækagen og tilbagekalde de kompromitterede tokens. Fra i går er der udover tidligere understøttede formater tilføjet understøttelse til at definere GoCardless, HashiCorp, Postman og Tencent tokens.
Kilde: opennet.ru