Il semble que la direction de GitHub réfléchisse sérieusement à la sécurité des logiciels. Il y avait d'abord un entrepôt de données à Svalbard et soutien financier aux développeurs. Et maintenant l'initiative GitHub Security Lab, qui implique la participation de tous les spécialistes intéressés à l'amélioration de la sécurité des logiciels open source.
L'initiative inclut déjà F5, Google, HackerOne, Intel, IOActive, J.P. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber et VMWare. Au cours des deux dernières années, ils ont contribué à identifier et à éliminer 105 vulnérabilités dans plusieurs projets.
D'autres participants se sont vu promettre des récompenses allant jusqu'à 3000 XNUMX $ pour les vulnérabilités identifiées. L'interface GitHub a déjà la possibilité d'obtenir l'identifiant CVE d'un problème et de créer un rapport à ce sujet. Un catalogue de vulnérabilités a été lancé , contenant des informations sur les problèmes liés aux applications hébergées sur GitHub, aux packages vulnérables, etc.
De plus, une protection mise à jour a déjà été ajoutée au système, qui garantit que les données personnelles et confidentielles, telles que les jetons, les clés, etc., ne finissent pas dans des référentiels publics. Apparemment, le système analyse automatiquement les formats clés de 20 services et systèmes cloud. Si un problème est détecté, une demande est envoyée au fournisseur de services pour confirmer le problème et révoquer les clés compromises.
Notez que GitHub a déjà été acquis par Microsoft. Il semble que Redmond ait décidé de prendre la sécurité des données au sérieux.
Source: 3dnews.ru