Parece que la dirección de GitHub está pensando seriamente en la seguridad del software. Primero hubo un almacén de datos en Svalbard y Apoyo financiero a los desarrolladores. Y ahora la iniciativa GitHub Security Lab, que implica la participación de todos los especialistas interesados en mejorar la seguridad del software de código abierto.
En la iniciativa ya participan F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber y VMWare. Durante los últimos dos años, han ayudado a identificar y eliminar 105 vulnerabilidades en varios proyectos.
A otros participantes se les prometieron recompensas de hasta 3000 dólares por las vulnerabilidades identificadas. La interfaz de GitHub ya tiene la capacidad de obtener el identificador CVE de un problema y crear un informe al respecto. Se ha lanzado un catálogo de vulnerabilidades , que contiene información sobre problemas con aplicaciones alojadas en GitHub, paquetes vulnerables, etc.
Además, ya se ha agregado al sistema una protección actualizada, que garantiza que los datos personales y confidenciales, como tokens, claves y similares, no terminen en repositorios públicos. Supuestamente, el sistema escanea automáticamente formatos clave de 20 servicios y sistemas en la nube. Si se detecta un problema, se envía una solicitud al proveedor de servicios para confirmar el problema y revocar las claves comprometidas.
Tenga en cuenta que GitHub fue adquirido anteriormente por Microsoft. Parece que los de Redmond han decidido tomarse en serio la seguridad de los datos.
Fuente: 3dnews.ru