GitHub ekimenarekin , hainbat enpresa eta erakundetako segurtasun adituen lankidetza antolatzea helburu duena, ahultasunak identifikatzeko eta kode irekiko proiektuen kodean ezabatzen laguntzeko.
Interesa duten enpresa guztiak eta segurtasun informatikoko banakako espezialista guztiak gonbidatuta daude ekimenarekin bat egitera. Ahultasuna identifikatzeko 3000 dolar arteko sari bat ordaintzea, arazoaren larritasunaren eta txostenaren kalitatearen arabera. Tresna-kutxa erabiltzea gomendatzen dugu arazoen informazioa bidaltzeko. , kode zaurgarriaren txantiloia sortzeko aukera ematen duena, beste proiektu batzuen kodean antzeko ahultasun baten presentzia identifikatzeko (CodeQL-k kodearen azterketa semantikoa egitea eta zenbait egitura bilatzeko kontsultak sortzea ahalbidetzen du).
F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber eta
VMWare, azken bi urteetan ΠΈ 105 ahultasun proiektuetan, hala nola Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rs. , Apache Geode eta Hadoop.
GitHub-ek proposatutako kodearen segurtasunaren bizi-zikloak GitHub Security Lab-eko kideek ahuleziak identifikatzen dituzte, eta, ondoren, mantentzaileei eta garatzaileei jakinaraziko zaizkie, hauek konponketak garatuko dituzte, arazoa noiz jakinarazi koordinatu eta bertsioa instalatzeko menpeko proiektuei jakinaraziko diete ahultasuna ezabatuz. Datu-baseak CodeQL txantiloiak izango ditu GitHub-en dagoen kodean konpondutako arazoak berriro ager ez daitezen.
GitHub interfazearen bidez orain egin dezakezu Identifikatutako arazoaren CVE identifikatzailea eta txosten bat prestatu, eta GitHub-ek berak beharrezko jakinarazpenak bidaliko ditu eta haien zuzenketa koordinatua antolatuko du. Gainera, arazoa konpondu ondoren, GitHub-ek automatikoki bidaliko ditu tira-eskaerak kaltetutako proiektuarekin lotutako mendekotasunak eguneratzeko.
GitHub-ek ahultasunen zerrenda ere gehitu du , GitHub-en proiektuei eragiten dieten ahultasunei buruzko informazioa eta kaltetutako paketeen eta biltegien jarraipena egiteko informazioa argitaratzen duena. GitHub-eko iruzkinetan aipatzen diren CVE identifikatzaileek automatikoki lotzen dituzte bidalitako datu-baseko ahultasunari buruzko informazio zehatza. Datu-basearekin lana automatizatzeko, aparte .
Eguneraketa ere jakinarazi da aurka babesteko publikoki eskuragarri dauden biltegietara
datu sentikorrak, hala nola autentifikazio-tokenak eta sarbide-gakoak. Konpromiso batean, eskanerrak erabiltzen diren gako eta token formatu tipikoak egiaztatzen ditu , Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack eta Stripe barne. Token bat identifikatzen bada, zerbitzu-hornitzaileari eskaera bat bidaltzen zaio ihesa berresteko eta arriskuan dauden tokenak baliogabetzeko. Atzotik aurrera, aurretik onartzen ziren formatuez gain, GoCardless, HashiCorp, Postman eta Tencent tokenak definitzeko laguntza gehitu da.
Iturria: opennet.ru