GitHub med initiativ , der har til formål at organisere et fælles arbejde mellem sikkerhedseksperter fra forskellige virksomheder og organisationer for at identificere sårbarheder og hjælpe med at eliminere dem i koden til open source-projekter.
Alle interesserede virksomheder og individuelle computersikkerhedsspecialister er inviteret til at deltage i initiativet. Til identifikation af en sårbarhed udbetaling af en belønning på op til 3000 USD, afhængigt af problemets alvor og rapportens kvalitet. For at indsende oplysninger om problemer anbefales det at bruge værktøjet , som giver dig mulighed for at oprette en skabelon af sårbar kode for at identificere tilstedeværelsen af en lignende sårbarhed i koden for andre projekter (CodeQL gør det muligt at udføre semantisk analyse af kode og generere forespørgsler for at søge efter specifikke konstruktioner).
Initiativet har allerede fået følgeskab af sikkerhedsforskere fra F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber og
VMWare, som i løbet af de sidste to år и 105 sårbarheder i projekter som Chromium, libssh2 og kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode og Hadoop.
GitHubs foreslåede kodesikkerhedslivcyklus involverer medlemmer af GitHub Security Lab, der identificerer sårbarheder, som derefter rapporteres til vedligeholdere og udviklere, som vil udvikle rettelser, koordinere tidspunktet for offentliggørelse og informere afhængige projekter om behovet for at installere en version med den rette sårbarhed. Databasen vil indeholde CodeQL-skabeloner for at forhindre, at rette problemer dukker op igen i kode på GitHub.
Du kan nu bruge GitHub-grænsefladen CVE-identifikator for det identificerede problem og udarbejder en rapport, hvorefter GitHub sender de nødvendige notifikationer og organiserer deres koordinerede løsning. Derudover, når problemet er løst, sender GitHub automatisk pull-anmodninger for at opdatere de afhængigheder, der er knyttet til det sårbare projekt.
GitHub har også tilføjet et sårbarhedskatalog til sin hjemmeside. , som udgiver oplysninger om sårbarheder, der påvirker projekter på GitHub, og oplysninger til sporing af berørte pakker og arkiver. CVE-identifikatorer nævnt i kommentarer på GitHub linker nu automatisk til detaljerede oplysninger om sårbarheden i den præsenterede database. En separat .
Der er også rapporteret en opdatering at beskytte mod til offentligt tilgængelige arkiver
Følsomme data såsom godkendelsestokens og adgangsnøgler. Under en commit kontrollerer scanneren for typiske nøgle- og tokenformater, der anvendes , herunder Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack og Stripe API'er. Hvis et token registreres, sendes der en anmodning til tjenesteudbyderen om at bekræfte lækagen og tilbagekalde de kompromitterede tokens. Siden i går er der, udover de tidligere understøttede formater, tilføjet understøttelse af detektering af GoCardless-, HashiCorp-, Postman- og Tencent-tokens.
Kilde: opennet.ru
