GitHub avec l'initiative , visant à organiser la collaboration d'experts en sécurité de diverses entreprises et organisations pour identifier les vulnérabilités et aider à les éliminer dans le code des projets open source.
Toutes les entreprises intéressées et les spécialistes individuels de la sécurité informatique sont invités à se joindre à l’initiative. Pour identifier la vulnérabilité paiement d'une récompense pouvant aller jusqu'à 3000 XNUMX $, selon la gravité du problème et la qualité du rapport. Nous vous suggérons d'utiliser la boîte à outils pour soumettre des informations sur les problèmes. , qui permet de générer un modèle de code vulnérable pour identifier la présence d'une vulnérabilité similaire dans le code d'autres projets (CodeQL permet de réaliser une analyse sémantique du code et de générer des requêtes pour rechercher certaines structures).
Chercheurs en sécurité de F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber et
VMWare, qui au cours des deux dernières années и 105 vulnérabilités dans des projets tels que Chromium, libssh2, noyau Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog , Apache Geode et Hadoop.
Le cycle de vie de sécurité du code proposé par GitHub implique que les membres du GitHub Security Lab identifient les vulnérabilités, qui seront ensuite communiquées aux responsables et aux développeurs, qui développeront des correctifs, coordonneront le moment de divulguer le problème et informeront les projets dépendants pour installer la version en éliminant la vulnérabilité. La base de données contiendra des modèles CodeQL pour éviter la réapparition de problèmes résolus dans le code présent sur GitHub.
Grâce à l'interface GitHub, vous pouvez désormais Identifiant CVE du problème identifié et préparera un rapport, et GitHub lui-même enverra les notifications nécessaires et organisera leur correction coordonnée. De plus, une fois le problème résolu, GitHub soumettra automatiquement des demandes d'extraction pour mettre à jour les dépendances associées au projet concerné.
GitHub a également ajouté une liste de vulnérabilités , qui publie des informations sur les vulnérabilités affectant les projets sur GitHub et des informations permettant de suivre les packages et les référentiels concernés. Les identifiants CVE mentionnés dans les commentaires sur GitHub sont désormais automatiquement liés à des informations détaillées sur la vulnérabilité dans la base de données soumise. Pour automatiser le travail avec la base de données, un .
Une mise à jour est également signalée pour se protéger contre vers des référentiels accessibles au public
des données sensibles telles que des jetons d'authentification et des clés d'accès. Lors d'une validation, le scanner vérifie les formats de clé et de jeton typiques utilisés , notamment l'API Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack et Stripe. Si un jeton est identifié, une demande est envoyée au fournisseur de services pour confirmer la fuite et révoquer les jetons compromis. Depuis hier, en plus des formats précédemment pris en charge, la prise en charge de la définition des jetons GoCardless, HashiCorp, Postman et Tencent a été ajoutée.
Source: opennet.ru