GitHub con iniciativa , cuyo objetivo es organizar la colaboración de expertos en seguridad de varias empresas y organizaciones para identificar vulnerabilidades y ayudar a eliminarlas en el código de proyectos de código abierto.
Todas las empresas interesadas y especialistas individuales en seguridad informática están invitados a unirse a la iniciativa. Para identificar la vulnerabilidad pago de una recompensa de hasta $3000, dependiendo de la gravedad del problema y la calidad del informe. Sugerimos utilizar el kit de herramientas para enviar información sobre el problema. , que le permite generar una plantilla de código vulnerable para identificar la presencia de una vulnerabilidad similar en el código de otros proyectos (CodeQL permite realizar análisis semántico del código y generar consultas para buscar ciertas estructuras).
Investigadores de seguridad de F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber y
VMWare, que en los últimos dos años и 105 vulnerabilidades en proyectos como Chromium, libssh2, kernel de Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog , Apache Geode y Hadoop.
El ciclo de vida de seguridad del código propuesto por GitHub implica que los miembros del GitHub Security Lab identifiquen vulnerabilidades, que luego se comunicarán a los mantenedores y desarrolladores, quienes desarrollarán correcciones, coordinarán cuándo revelar el problema e informarán a los proyectos dependientes para que instalen la versión y eliminen la vulnerabilidad. La base de datos contendrá plantillas CodeQL para evitar la reaparición de problemas resueltos en el código presente en GitHub.
A través de la interfaz de GitHub ahora puedes Identificador CVE para el problema identificado y preparará un informe, y el propio GitHub enviará las notificaciones necesarias y organizará su corrección coordinada. Además, una vez que se resuelva el problema, GitHub enviará automáticamente solicitudes de extracción para actualizar las dependencias asociadas con el proyecto afectado.
GitHub también ha agregado una lista de vulnerabilidades. , que publica información sobre vulnerabilidades que afectan a los proyectos en GitHub e información para rastrear los paquetes y repositorios afectados. Los identificadores CVE mencionados en los comentarios en GitHub ahora se vinculan automáticamente a información detallada sobre la vulnerabilidad en la base de datos enviada. Para automatizar el trabajo con la base de datos, un separado .
También se informa la actualización. para proteger contra a repositorios de acceso público
datos confidenciales como tokens de autenticación y claves de acceso. Durante una confirmación, el escáner verifica los formatos típicos de clave y token utilizados , incluida Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack y Stripe. Si se identifica un token, se envía una solicitud al proveedor de servicios para confirmar la filtración y revocar los tokens comprometidos. A partir de ayer, además de los formatos admitidos anteriormente, se agregó soporte para definir tokens GoCardless, HashiCorp, Postman y Tencent.
Fuente: opennet.ru