GitHub oma-aloitteisesti , jonka tarkoituksena on organisoida eri yritysten ja organisaatioiden tietoturva-asiantuntijoiden yhteistyötä haavoittuvuuksien tunnistamiseksi ja niiden poistamiseksi avoimen lähdekoodin projektien koodissa.
Kaikki kiinnostuneet yritykset ja yksittäiset tietoturva-asiantuntijat ovat tervetulleita mukaan aloitteeseen. Haavoittuvuuden tunnistamiseen enintään 3000 XNUMX dollarin palkkio ongelman vakavuudesta ja raportin laadusta riippuen. Suosittelemme käyttämään työkalupakkia ongelmatietojen lähettämiseen. , jonka avulla voit luoda haavoittuvan koodin mallin samanlaisen haavoittuvuuden tunnistamiseksi muiden projektien koodissa (CodeQL mahdollistaa koodin semanttisen analyysin ja kyselyjen luomisen tiettyjen rakenteiden etsimiseksi).
F5:n, Googlen, HackerOnen, Intelin, IOActiven ja J.P.:n tietoturvatutkijat ovat jo liittyneet aloitteeseen. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber ja
VMWare, joka viimeisen kahden vuoden aikana и 105 haavoittuvuutta projekteissa, kuten Chromium, libssh2, Linux-ydin, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, Apache Struts, strongysswante, , Apache Geode ja Hadoop.
GitHubin ehdotettu koodin tietoturvan elinkaaren mukaan GitHub Security Labin jäsenet tunnistavat haavoittuvuudet, jotka sitten tiedotetaan ylläpitäjille ja kehittäjille, jotka kehittävät korjauksia, koordinoivat, milloin ongelma julkaistaan, ja tiedottavat riippuvaisille projekteille version asentamisesta. Haavoittuvuus poistetaan. Tietokanta sisältää CodeQL-malleja, jotka estävät GitHubissa olevan koodin ratkaistujen ongelmien toistumisen.
GitHub-käyttöliittymän kautta voit nyt CVE-tunniste tunnistetulle ongelmalle ja valmistele raportti, ja GitHub itse lähettää tarvittavat ilmoitukset ja järjestää niiden koordinoidun korjauksen. Lisäksi, kun ongelma on ratkaistu, GitHub lähettää automaattisesti vetopyynnöt ongelmaan liittyvään projektiin liittyvien riippuvuuksien päivittämiseksi.
GitHub on myös lisännyt luettelon haavoittuvuuksista , joka julkaisee tietoja haavoittuvuuksista, jotka vaikuttavat GitHubin projekteihin, sekä tietoja vaikutusten kohteena olevien pakettien ja tietovarastojen seuraamiseksi. GitHubin kommenteissa mainitut CVE-tunnisteet linkittävät nyt automaattisesti yksityiskohtaisiin tietoihin lähetetyn tietokannan haavoittuvuudesta. Tietokannan kanssa työskentelyn automatisoimiseksi erillinen .
Päivitys on myös raportoitu suojautua vastaan julkisesti saatavilla oleviin arkistoihin
arkaluontoiset tiedot, kuten todennustunnukset ja pääsyavaimet. Toimituksen aikana skanneri tarkistaa tyypilliset käytetyt avain- ja token-muodot , mukaan lukien Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack ja Stripe. Jos tunnus tunnistetaan, palveluntarjoajalle lähetetään pyyntö vahvistaa vuoto ja peruuttaa vaarantuneet tunnukset. Eilen tuettuihin muotoihin on lisätty tuki GoCardless-, HashiCorp-, Postman- ja Tencent-tunnusten määrittelylle.
Lähde: opennet.ru