GitHub mei it inisjatyf , rjochte op it organisearjen fan de gearwurking fan feiligenseksperts fan ferskate bedriuwen en organisaasjes om kwetsberens te identifisearjen en te helpen by it eliminearjen fan har yn 'e koade fan iepen boarneprojekten.
Alle ynteressearre bedriuwen en yndividuele kompjûterfeiligensspesjalisten wurde útnoege om mei te dwaan oan it inisjatyf. Foar it identifisearjen fan de kwetsberens betelling fan in beleanning oant $ 3000, ôfhinklik fan 'e earnst fan it probleem en de kwaliteit fan it rapport. Wy riede oan om de toolkit te brûken om probleemynformaasje yn te tsjinjen. .
Feiligensûndersikers fan F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber en
VMWare, dy't oer de ôfrûne twa jier и 105 kwetsberens yn projekten lykas Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, , Apache Geode en Hadoop.
GitHub's foarstelde libbenssyklus fan koadebefeiliging omfettet GitHub Security Lab-leden dy't kwetsberens identifisearje, dy't dan sille wurde kommunisearre oan ûnderhâlders en ûntwikkelders, dy't fixes sille ûntwikkelje, koördinearje wannear't it probleem iepenbier wurde moat, en ôfhinklike projekten ynformearje om de ferzje te ynstallearjen. De databank sil CodeQL-sjabloanen befetsje om it opnij ferskinen fan oploste problemen te foarkommen yn 'e koade oanwêzich op GitHub.
Troch de GitHub-ynterface kinne jo no CVE identifier foar de identifisearre probleem en tariede in rapport, en GitHub sels sil stjoere út de nedige notifikaasjes en organisearje harren koördinearre korreksje. Boppedat, as it probleem ienris is oplost, sil GitHub automatysk pull-oanfragen yntsjinje om ôfhinklikens te aktualisearjen ferbûn mei it troffen projekt.
GitHub hat ek in list mei kwetsberens tafoege , dy't ynformaasje publisearret oer kwetsberens dy't projekten beynfloedzje op GitHub en ynformaasje om beynfloede pakketten en repositories te folgjen. CVE-identifikaasjes neamd yn opmerkingen op GitHub no automatysk keppele oan detaillearre ynformaasje oer de kwetsberens yn 'e yntsjinne databank. Om automatisearje wurk mei de databank, in apart .
Update wurdt ek rapportearre te beskermjen tsjin oan iepenbier tagonklike repositories
gefoelige gegevens lykas autentikaasje tokens en tagong kaaien. Tidens in commit kontrolearret de scanner de typyske kaai- en tokenformaten dy't brûkt wurde , ynklusyf Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack en Stripe. As in token wurdt identifisearre, wurdt in fersyk stjoerd nei de tsjinstferliener om it lek te befêstigjen en de kompromittearre tokens yn te lûken. Fanôf juster is, neist earder stipe formaten, stipe foar it definiearjen fan GoCardless, HashiCorp, Postman en Tencent tokens tafoege.
Boarne: opennet.ru