GitHub kun iniciato , celita organizi la kunlaboron de sekurecaj fakuloj de diversaj kompanioj kaj organizoj por identigi vundeblecojn kaj helpi forigi ilin en la kodo de malfermfontaj projektoj.
Ĉiuj interesataj kompanioj kaj individuaj specialistoj pri komputila sekureco estas invititaj aliĝi al la iniciato. Por identigi la vundeblecon pago de rekompenco de ĝis $ 3000, depende de la severeco de la problemo kaj la kvalito de la raporto. Ni sugestas uzi la ilaron por sendi problemajn informojn. , kiu ebligas al vi generi ŝablonon de vundebla kodo por identigi la ĉeeston de simila vundebleco en la kodo de aliaj projektoj (CodeQL ebligas fari semantikan analizon de kodo kaj generi demandojn por serĉi iujn strukturojn).
Sekurecaj esploristoj de F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber kaj
VMWare, kiu dum la lastaj du jaroj и 105 vundeblecoj en projektoj kiel Chromium, libssh2, Linukso-kerno, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rs , Apache Geode kaj Hadoop.
La proponita koda sekureca vivociklo de GitHub implikas membrojn de GitHub Security Lab identigantajn vundeblecojn, kiuj tiam estos komunikitaj al prizorgantoj kaj programistoj, kiuj disvolvos korektojn, kunordigos kiam malkaŝi la problemon kaj informos dependajn projektojn por instali la version kun elimino de la vundebleco. La datumbazo enhavos CodeQL-ŝablonojn por malhelpi la reaperon de solvitaj problemoj en la kodo ĉeestanta sur GitHub.
Per la interfaco GitHub vi povas nun CVE-identigilo por la identigita problemo kaj preparu raporton, kaj GitHub mem sendos la necesajn sciigojn kaj organizos ilian kunordigan korektadon. Plie, post kiam la problemo estas solvita, GitHub aŭtomate sendos tirajn petojn por ĝisdatigi dependecojn asociitajn kun la tuŝita projekto.
GitHub ankaŭ aldonis liston de vundeblecoj , kiu publikigas informojn pri vundeblecoj influantaj projektojn sur GitHub kaj informojn por spuri tuŝitajn pakaĵojn kaj deponejojn. CVE-identigiloj menciitaj en komentoj pri GitHub nun aŭtomate ligas al detalaj informoj pri la vundebleco en la sendita datumbazo. Por aŭtomatigi laboron kun la datumbazo, aparta .
Ĝisdatigo ankaŭ estas raportita protekti kontraŭ al publike alireblaj deponejoj
sentemaj datumoj kiel aŭtentigaj signoj kaj alirŝlosiloj. Dum transdono, la skanilo kontrolas la tipajn ŝlosilajn kaj ĵetonajn formatojn uzatajn , inkluzive de Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack kaj Stripe. Se ĵetono estas identigita, peto estas sendita al la teleliveranto por konfirmi la likon kaj revoki la kompromititajn ĵetonojn. De hieraŭ, aldone al antaŭe subtenataj formatoj, subteno por difinado de GoCardless, HashiCorp, Postman kaj Tencent-ĵetonoj estis aldonita.
fonto: opennet.ru