ProHoster > وبلاگ > اخبار اینترنتی > GitHub پروژه مشترکی را برای شناسایی آسیب‌پذیری‌ها در نرم‌افزار متن‌باز راه‌اندازی کرد

GitHub پروژه مشترکی را برای شناسایی آسیب‌پذیری‌ها در نرم‌افزار متن‌باز راه‌اندازی کرد

GitHub صحبت کرد با ابتکار عمل آزمایشگاه امنیتی گیت هاب، با هدف سازماندهی همکاری کارشناسان امنیتی از شرکت ها و سازمان های مختلف برای شناسایی آسیب پذیری ها و کمک به رفع آنها در کد پروژه های متن باز.

از کلیه شرکت های علاقه مند و متخصصان امنیت رایانه فردی دعوت می شود تا به این طرح بپیوندند. برای شناسایی آسیب پذیری پیش بینی شده پرداخت تا 3000 دلار جایزه بسته به شدت مشکل و کیفیت گزارش. پیشنهاد می کنیم از جعبه ابزار برای ارسال اطلاعات مشکل استفاده کنید. CodeQL، که به شما امکان می دهد یک الگوی کد آسیب پذیر را برای شناسایی وجود یک آسیب پذیری مشابه در کد پروژه های دیگر ایجاد کنید (CodeQL امکان انجام تجزیه و تحلیل معنایی کد و ایجاد پرس و جو برای جستجوی ساختارهای خاص را فراهم می کند).

محققان امنیتی از F5، Google، HackerOne، Intel، IOActive، JP Morgan، LinkedIn، Microsoft، Mozilla، NCC Group، Oracle، Trail of Bits، Uber و
VMWare که در دو سال گذشته آشکار کرد и کمکم کرد درستش کنم 105 آسیب پذیری در پروژه هایی مانند Chromium، libssh2، Linux kernel، Memcached، UBoot، VLC، Apport، HHVM، Exiv2، FFmpeg، Fizz، libav، Ansible، npm، XNU، Ghostscript، Icecast، Apache Struts، Icecast، Apache Struts، IsterscheSgwan ، Apache Geode و Hadoop.

چرخه حیات کد پیشنهادی GitHub شامل شناسایی آسیب‌پذیری‌ها توسط اعضای آزمایشگاه امنیتی GitHub می‌شود که سپس به نگهبانان و توسعه‌دهندگان اطلاع‌رسانی می‌شود، آنها اصلاحات را ایجاد می‌کنند، زمان افشای مشکل را هماهنگ می‌کنند و پروژه‌های وابسته را برای نصب نسخه با حذف آسیب‌پذیری مطلع می‌کنند. پایگاه داده حاوی الگوهای CodeQL برای جلوگیری از ظهور مجدد مشکلات حل شده در کد موجود در GitHub خواهد بود.

GitHub پروژه مشترکی را برای شناسایی آسیب‌پذیری‌ها در نرم‌افزار متن‌باز راه‌اندازی کرد

از طریق رابط GitHub اکنون می توانید دریافت کنید شناسه CVE برای مشکل شناسایی شده و تهیه گزارش، و خود GitHub اعلان های لازم را ارسال می کند و اصلاح هماهنگ آنها را سازماندهی می کند. علاوه بر این، هنگامی که مشکل حل شد، GitHub به طور خودکار درخواست های کششی را برای به روز رسانی وابستگی های مرتبط با پروژه آسیب دیده ارسال می کند.

گیت هاب همچنین لیستی از آسیب پذیری ها را اضافه کرده است پایگاه داده مشاوره GitHub، که اطلاعاتی در مورد آسیب پذیری های تأثیرگذار بر پروژه ها در GitHub و اطلاعاتی برای ردیابی بسته ها و مخازن آسیب دیده منتشر می کند. شناسه های CVE ذکر شده در نظرات در GitHub اکنون به طور خودکار به اطلاعات دقیق در مورد آسیب پذیری در پایگاه داده ارسال شده پیوند می دهند. برای خودکار کردن کار با پایگاه داده، جداگانه API.

به روز رسانی نیز گزارش شده است سرویس برای محافظت در برابر بازدید به مخازن در دسترس عموم
داده های حساس مانند توکن های احراز هویت و کلیدهای دسترسی. در طول یک commit، اسکنر فرمت های معمولی کلید و نشانه استفاده شده را بررسی می کند 20 ارائه دهنده و خدمات ابریاز جمله Alibaba Cloud API، Amazon Web Services (AWS)، Azure، Google Cloud، Slack و Stripe. اگر یک توکن شناسایی شود، درخواستی برای تایید نشت و لغو توکن های در معرض خطر به ارائه دهنده خدمات ارسال می شود. از دیروز، علاوه بر فرمت های پشتیبانی شده قبلی، پشتیبانی از تعریف توکن های GoCardless، HashiCorp، Postman و Tencent اضافه شده است.

منبع: opennet.ru

اضافه کردن نظر