GitHub με πρωτοβουλία , με στόχο την οργάνωση της συνεργασίας ειδικών σε θέματα ασφάλειας από διάφορες εταιρείες και οργανισμούς για τον εντοπισμό τρωτών σημείων και τη βοήθεια στην εξάλειψή τους στον κώδικα έργων ανοιχτού κώδικα.
Όλες οι ενδιαφερόμενες εταιρείες και μεμονωμένοι ειδικοί σε θέματα ασφάλειας υπολογιστών καλούνται να συμμετάσχουν στην πρωτοβουλία. Για τον εντοπισμό της ευπάθειας καταβολή ανταμοιβής έως και 3000 $, ανάλογα με τη σοβαρότητα του προβλήματος και την ποιότητα της αναφοράς. Προτείνουμε να χρησιμοποιήσετε την εργαλειοθήκη για να υποβάλετε πληροφορίες για το πρόβλημα. , το οποίο σας επιτρέπει να δημιουργήσετε ένα πρότυπο ευάλωτου κώδικα για να προσδιορίσετε την παρουσία παρόμοιας ευπάθειας στον κώδικα άλλων έργων (το CodeQL καθιστά δυνατή τη διεξαγωγή σημασιολογικής ανάλυσης κώδικα και τη δημιουργία ερωτημάτων για αναζήτηση ορισμένων δομών).
Ερευνητές ασφαλείας από τις F5, Google, HackerOne, Intel, IOActive, J.P. έχουν ήδη ενταχθεί στην πρωτοβουλία. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber και
VMWare, που τα τελευταία δύο χρόνια и 105 τρωτά σημεία σε έργα όπως Chromium, libssh2, πυρήνας Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts,parscheysWan , Apache Geode και Hadoop.
Ο προτεινόμενος κύκλος ζωής ασφάλειας κώδικα του GitHub περιλαμβάνει τα μέλη του GitHub Security Lab που εντοπίζουν τρωτά σημεία, τα οποία στη συνέχεια θα κοινοποιηθούν στους συντηρητές και τους προγραμματιστές, οι οποίοι θα αναπτύξουν διορθώσεις, θα συντονίσουν πότε θα αποκαλυφθεί το ζήτημα και θα ενημερώσουν εξαρτημένα έργα για την εγκατάσταση της έκδοσης με την εξάλειψη της ευπάθειας. Η βάση δεδομένων θα περιέχει πρότυπα CodeQL για να αποτρέψει την επανεμφάνιση επιλυμένων προβλημάτων στον κώδικα που υπάρχει στο GitHub.
Μέσω της διεπαφής GitHub μπορείτε τώρα Αναγνωριστικό CVE για το πρόβλημα που εντοπίστηκε και ετοιμάστε μια αναφορά και το ίδιο το GitHub θα στείλει τις απαραίτητες ειδοποιήσεις και θα οργανώσει τη συντονισμένη διόρθωσή τους. Επιπλέον, μόλις επιλυθεί το πρόβλημα, το GitHub θα υποβάλλει αυτόματα αιτήματα έλξης για ενημέρωση των εξαρτήσεων που σχετίζονται με το επηρεαζόμενο έργο.
Το GitHub έχει προσθέσει επίσης μια λίστα ευπαθειών , το οποίο δημοσιεύει πληροφορίες σχετικά με τρωτά σημεία που επηρεάζουν έργα στο GitHub και πληροφορίες για την παρακολούθηση πακέτων και αποθετηρίων που επηρεάζονται. Τα αναγνωριστικά CVE που αναφέρονται στα σχόλια στο GitHub συνδέονται πλέον αυτόματα με λεπτομερείς πληροφορίες σχετικά με την ευπάθεια στην υποβληθείσα βάση δεδομένων. Για την αυτοματοποίηση της εργασίας με τη βάση δεδομένων, ένα ξεχωριστό .
Αναφέρεται επίσης ενημέρωση για προστασία από σε δημόσια προσβάσιμα αποθετήρια
ευαίσθητα δεδομένα, όπως διακριτικά ελέγχου ταυτότητας και κλειδιά πρόσβασης. Κατά τη διάρκεια μιας δέσμευσης, ο σαρωτής ελέγχει τις τυπικές μορφές κλειδιού και διακριτικών που χρησιμοποιούνται , συμπεριλαμβανομένων των Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack και Stripe. Εάν εντοπιστεί ένα διακριτικό, αποστέλλεται ένα αίτημα στον πάροχο υπηρεσιών για επιβεβαίωση της διαρροής και ανάκληση των παραβιασμένων διακριτικών. Από χθες, εκτός από τις προηγούμενες υποστηριζόμενες μορφές, προστέθηκε υποστήριξη για τον ορισμό των κουπονιών GoCardless, HashiCorp, Postman και Tencent.
Πηγή: opennet.ru