GitHub le iomairt , ag amas air co-obrachadh le eòlaichean tèarainteachd bho dhiofar chompanaidhean agus bhuidhnean a chuir air dòigh gus so-leòntachd a chomharrachadh agus cuideachadh le bhith gan cuir às ann an còd phròiseactan stòr fosgailte.
Thathas a’ toirt cuireadh do chompanaidhean le ùidh agus eòlaichean tèarainteachd coimpiutair fa leth a thighinn a-steach don iomairt. Airson a bhith ag aithneachadh so-leòntachd pàigheadh duais suas ri $3000, a rèir dè cho dona sa tha an duilgheadas agus càileachd na h-aithisg. Tha sinn a’ moladh an inneal a chleachdadh gus fiosrachadh duilgheadas a chuir a-steach. , a leigeas leat teamplaid de chòd so-leònte a ghineadh gus comharrachadh gu bheil an aon seòrsa so-leòntachd ann an còd phròiseactan eile (tha CodeQL ga dhèanamh comasach mion-sgrùdadh semantach a dhèanamh air còd agus ceistean a ghineadh gus structaran sònraichte a lorg).
Luchd-rannsachaidh tèarainteachd bho F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber agus
VMWare, a tha thairis air an dà bhliadhna a dh’ fhalbh и 105 ann am pròiseactan leithid Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Iysnite, r , Apache Geode agus Hadoop.
Tha an cearcall-beatha tèarainteachd còd a tha san amharc aig GitHub a’ toirt a-steach buill GitHub Security Lab a’ comharrachadh so-leòntachd, a thèid an uairsin a chuir an cèill do luchd-gleidhidh agus luchd-leasachaidh, a leasaicheas fuasglaidhean, a cho-òrdanachadh cuin a nochdas a’ chùis, agus a bheir fios do phròiseactan eisimeileach gus an dreach a chuir a-steach. Bidh teamplaidean CodeQL anns an stòr-dàta gus casg a chuir air duilgheadasan fhuasgladh sa chòd a tha an làthair air GitHub.
Tro eadar-aghaidh GitHub faodaidh tu a-nis Comharraich CVE airson an duilgheadas a chaidh ainmeachadh agus ullaich aithisg, agus cuiridh GitHub fhèin na fiosan riatanach a-mach agus cuiridh iad an ceartachadh co-òrdanaichte air dòigh. A bharrachd air an sin, aon uair ‘s gu bheil a’ chùis air a rèiteachadh, cuiridh GitHub a-steach gu fèin-ghluasadach iarrtasan tarraing gus eisimeileachd co-cheangailte ris a ’phròiseact air a bheil buaidh ùrachadh.
Tha GitHub cuideachd air liosta de chugallachd a chuir ris , a bhios a’ foillseachadh fiosrachadh mu chugallachd a bheir buaidh air pròiseactan air GitHub agus fiosrachadh gus sùil a chumail air pasganan agus stòran air a bheil buaidh. Bidh aithnichearan CVE air an deach iomradh a thoirt ann am beachdan air GitHub a-nis a’ ceangal gu fèin-ghluasadach ri fiosrachadh mionaideach mun so-leòntachd anns an stòr-dàta a chaidh a chuir a-steach. Gus obair leis an stòr-dàta a dhèanamh fèin-ghluasadach, fear air leth .
Thathas cuideachd ag aithris air ùrachadh gus dìon an aghaidh gu stòran a tha ruigsinneach don phoball
dàta mothachail leithid comharran dearbhaidh agus iuchraichean ruigsinneachd. Rè gealltanas, bidh an sganair a’ sgrùdadh na h-iuchrach àbhaisteach agus na cruthan tòcan a thathar a’ cleachdadh , a’ toirt a-steach Alibaba Cloud API, Seirbheisean Lìn Amazon (AWS), Azure, Google Cloud, Slack agus Stripe. Ma thèid comharra a chomharrachadh, thèid iarrtas a chuir chun t-solaraiche seirbheis gus an aodion a dhearbhadh agus na comharran cunnartach a chùl-ghairm. Mar an-dè, a bharrachd air na cruthan a fhuair taic roimhe, chaidh taic airson comharran GoCardless, HashiCorp, Postman agus Tencent a mhìneachadh.
Source: fosgailtenet.ru
