GitHub mit Eigeninitiative , mit dem Ziel, die Zusammenarbeit von Sicherheitsexperten verschiedener Unternehmen und Organisationen zu organisieren, um Schwachstellen im Code von Open-Source-Projekten zu identifizieren und bei deren Beseitigung zu helfen.
Alle interessierten Unternehmen und einzelnen Computersicherheitsspezialisten sind eingeladen, sich der Initiative anzuschließen. Zur Identifizierung der Schwachstelle Zahlung einer Belohnung von bis zu 3000 US-Dollar, abhängig von der Schwere des Problems und der Qualität des Berichts. Wir empfehlen die Verwendung des Toolkits zur Übermittlung von Probleminformationen. , mit dem Sie eine Vorlage für anfälligen Code erstellen können, um das Vorhandensein einer ähnlichen Schwachstelle im Code anderer Projekte zu identifizieren (CodeQL ermöglicht die Durchführung einer semantischen Analyse des Codes und die Generierung von Abfragen zur Suche nach bestimmten Strukturen).
Sicherheitsforscher von F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber und
VMWare, das in den letzten zwei Jahren и 105 Schwachstellen in Projekten wie Chromium, libssh2, Linux-Kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog , Apache Geode und Hadoop.
Der von GitHub vorgeschlagene Code-Sicherheitslebenszyklus beinhaltet, dass Mitglieder des GitHub Security Lab Schwachstellen identifizieren, die dann an Betreuer und Entwickler kommuniziert werden, die Korrekturen entwickeln, koordinieren, wann das Problem offengelegt werden soll, und abhängige Projekte informieren, um die Version zu installieren und die Schwachstelle zu beseitigen. Die Datenbank enthält CodeQL-Vorlagen, um zu verhindern, dass gelöste Probleme im auf GitHub vorhandenen Code erneut auftreten.
Über die GitHub-Schnittstelle können Sie jetzt CVE-Identifikator für das identifizierte Problem und erstellen Sie einen Bericht, und GitHub selbst versendet die erforderlichen Benachrichtigungen und organisiert deren koordinierte Korrektur. Sobald das Problem behoben ist, sendet GitHub außerdem automatisch Pull-Anfragen, um die mit dem betroffenen Projekt verbundenen Abhängigkeiten zu aktualisieren.
GitHub hat außerdem eine Liste mit Schwachstellen hinzugefügt , das Informationen zu Schwachstellen veröffentlicht, die Projekte auf GitHub betreffen, sowie Informationen zur Verfolgung betroffener Pakete und Repositorys. In Kommentaren auf GitHub erwähnte CVE-Kennungen verlinken jetzt automatisch zu detaillierten Informationen über die Schwachstelle in der übermittelten Datenbank. Um die Arbeit mit der Datenbank zu automatisieren, ist eine separate .
Update wird ebenfalls gemeldet zum Schutz vor in öffentlich zugängliche Repositorien
sensible Daten wie Authentifizierungstoken und Zugriffsschlüssel. Während eines Commits überprüft der Scanner die typischen verwendeten Schlüssel- und Tokenformate , einschließlich Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack und Stripe. Wenn ein Token identifiziert wird, wird eine Anfrage an den Dienstanbieter gesendet, um das Leck zu bestätigen und die kompromittierten Token zu widerrufen. Seit gestern wurde zusätzlich zu den zuvor unterstützten Formaten die Unterstützung für die Definition von GoCardless-, HashiCorp-, Postman- und Tencent-Token hinzugefügt.
Source: opennet.ru