Parece que a xestión de GitHub está a pensar seriamente na seguridade do software. Primeiro houbo un almacén de datos en Svalbard e apoio financeiro para desenvolvedores. E agora a iniciativa GitHub Security Lab, que implica a participación de todos os especialistas interesados na mellora da seguridade do software de código aberto.
F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber e VMWare xa están a participar na iniciativa. Durante os últimos dous anos, axudaron a identificar e eliminar 105 vulnerabilidades en varios proxectos.
A outros participantes prometéronse recompensas de ata 3000 dólares por vulnerabilidades identificadas. A interface de GitHub xa ten a capacidade de obter o identificador CVE para un problema e crear un informe ao respecto. Lanzouse un catálogo de vulnerabilidades , que contén información sobre problemas coas aplicacións aloxadas en GitHub, paquetes vulnerables, etc.
Ademais, xa se engadiu ao sistema unha protección actualizada, que garante que os datos persoais e confidenciais, como tokens, claves e similares, non acaben en repositorios públicos. Supostamente, o sistema escanea automaticamente os formatos clave de 20 servizos e sistemas na nube. Se se detecta un problema, envíase unha solicitude ao fornecedor de servizos para que confirme o problema e revogue as claves comprometidas.
Teña en conta que GitHub foi adquirido anteriormente por Microsoft. Parece que Redmond decidiu tomarse en serio a seguridade dos datos.
Fonte: 3dnews.ru