GitHub algatusega , mille eesmärk on korraldada erinevate ettevõtete ja organisatsioonide turvaekspertide koostööd, et avastada avatud lähtekoodiga projektide koodis haavatavusi ja aidata neid kõrvaldada.
Algatusega on oodatud liituma kõik huvitatud ettevõtted ja üksikud arvutiturbespetsialistid. Haavatavuse tuvastamiseks kuni 3000 dollari suurune tasu olenevalt probleemi tõsidusest ja aruande kvaliteedist. Soovitame probleemiteabe edastamiseks kasutada tööriistakomplekti. , mis võimaldab teil luua haavatava koodi malli, et tuvastada sarnase haavatavuse olemasolu teiste projektide koodis (CodeQL võimaldab teha koodi semantilist analüüsi ja genereerida päringuid teatud struktuuride otsimiseks).
Algatusega on juba liitunud F5, Google'i, HackerOne'i, Inteli, IOActive'i, J.P. turvauurijad. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber ja
VMWare, mis viimase kahe aasta jooksul и 105 haavatavust sellistes projektides nagu Chromium, libssh2, Linuxi kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, Apache Struts, strongSwante,,, , Apache Geode ja Hadoop.
GitHubi pakutud koodi turvalisuse elutsükkel hõlmab GitHubi turvalabori liikmeid, kes tuvastavad haavatavused, mis seejärel edastatakse hooldajatele ja arendajatele, kes töötavad välja parandused, kooskõlastavad probleemi avalikustamise ja teavitavad sõltuvaid projekte versiooni installimiseks. Andmebaas sisaldab CodeQL-i malle, et vältida GitHubis oleva koodi lahendatud probleemide taasilmumist.
GitHubi liidese kaudu saate nüüd Tuvastatud probleemile CVE identifikaator ja koostada aruanne ning GitHub ise saadab välja vajalikud teated ja korraldab nende kooskõlastatud parandamise. Peale selle, kui probleem on lahendatud, saadab GitHub automaatselt tõmbetaotlused mõjutatud projektiga seotud sõltuvuste värskendamiseks.
GitHub on lisanud ka haavatavuste loendi , mis avaldab teavet GitHubi projekte mõjutavate haavatavuste kohta ning teavet mõjutatud pakettide ja hoidlate jälgimiseks. GitHubi kommentaarides mainitud CVE-identifikaatorid lingivad nüüd automaatselt üksikasjaliku teabega esitatud andmebaasis haavatavuse kohta. Andmebaasi töö automatiseerimiseks eraldi .
Teatatakse ka uuendusest eest kaitsta avalikult juurdepääsetavatesse hoidlatesse
tundlikud andmed, nagu autentimismärgid ja juurdepääsuvõtmed. Kinnituse ajal kontrollib skanner tüüpilisi kasutatavaid võtme- ja märgivorminguid , sealhulgas Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack ja Stripe. Token tuvastamisel saadetakse teenusepakkujale taotlus lekke kinnitamiseks ja rikutud žetoonide tühistamiseks. Alates eilsest on lisaks varem toetatud vormingutele lisatud ka GoCardlessi, HashiCorpi, Postmani ja Tencenti žetoonide defineerimise tugi.
Allikas: opennet.ru