GitHub avec l'initiative , visant à organiser le travail conjoint d'experts en sécurité de diverses entreprises et organisations afin d'identifier les vulnérabilités et de contribuer à leur élimination dans le code des projets open source.
Toutes les entreprises et tous les spécialistes indépendants en sécurité informatique intéressés sont invités à rejoindre cette initiative. Pour identifier une vulnérabilité Une récompense pouvant atteindre 3 000 $ sera versée, selon la gravité du problème et la qualité du signalement. Pour soumettre des informations sur les problèmes rencontrés, nous vous suggérons d'utiliser l'outil. , qui vous permet de créer un modèle de code vulnérable afin d'identifier la présence d'une vulnérabilité similaire dans le code d'autres projets (CodeQL vous permet d'effectuer une analyse sémantique du code et de générer des requêtes pour rechercher des constructions spécifiques).
Cette initiative a déjà rallié des chercheurs en sécurité de F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber et d'autres entreprises.
VMware, qui au cours des deux dernières années и 105 vulnérabilités dans des projets tels que Chromium, libssh2 et le noyau Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode et Hadoop.
Le cycle de vie de sécurité du code proposé par GitHub exige que les membres du GitHub Security Lab identifient les vulnérabilités. Ces problèmes seront ensuite signalés aux responsables de la maintenance et aux développeurs, qui élaboreront des correctifs, coordonneront le calendrier de divulgation et informeront les projets dépendants de l'installation de la version corrigée. La base de données contiendra des modèles CodeQL pour éviter la réapparition des problèmes corrigés dans le code hébergé sur GitHub.
Vous pouvez désormais utiliser l'interface GitHub Veuillez soumettre l'identifiant CVE du problème identifié et rédiger un rapport. GitHub enverra ensuite les notifications nécessaires et organisera une correction coordonnée. De plus, une fois le problème résolu, GitHub enverra automatiquement des demandes de fusion pour mettre à jour les dépendances associées au projet vulnérable.
GitHub a également ajouté un catalogue de vulnérabilités à son site. Ce service publie des informations sur les vulnérabilités affectant les projets GitHub, ainsi que des données permettant de suivre les paquets et dépôts concernés. Les identifiants CVE mentionnés dans les commentaires sur GitHub renvoient désormais automatiquement à des informations détaillées sur les vulnérabilités dans la base de données dédiée. Un outil distinct a été mis en place pour automatiser l'utilisation de cette base de données. .
Une mise à jour est également signalée. pour se protéger contre aux dépôts accessibles au public
Les données sensibles, telles que les jetons d'authentification et les clés d'accès, sont analysées. Lors d'une validation, le scanner vérifie les formats de clés et de jetons couramment utilisés. Cela inclut les API d'Alibaba Cloud, d'Amazon Web Services (AWS), d'Azure, de Google Cloud, de Slack et de Stripe. Si un jeton est détecté, une requête est envoyée au fournisseur de services pour confirmer la fuite et révoquer les jetons compromis. Depuis hier, en plus des formats déjà pris en charge, la détection des jetons provenant de GoCardless, HashiCorp, Postman et Tencent a été ajoutée.
Source: opennet.ru
