GitHub con iniciativa , destinada a organizar a colaboración de expertos en seguridade de diversas empresas e organizacións para identificar vulnerabilidades e axudar a eliminalas no código dos proxectos de código aberto.
Todas as empresas interesadas e especialistas individuais en seguridade informática están convidados a sumarse á iniciativa. Para identificar a vulnerabilidade pago dunha recompensa de ata 3000 dólares, dependendo da gravidade do problema e da calidade do informe. Suxerímoslle que utilice o conxunto de ferramentas para enviar información do problema. , que permite xerar un modelo de código vulnerable para identificar a presenza dunha vulnerabilidade similar no código doutros proxectos (CodeQL permite realizar análises semánticas de código e xerar consultas para buscar determinadas estruturas).
Investigadores de seguridade de F5, Google, HackerOne, Intel, IOActive, J.P. xa se sumaron á iniciativa. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber e
VMWare, que nos últimos dous anos и 105 vulnerabilidades en proxectos como Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rs , Apache Geode e Hadoop.
O ciclo de vida de seguranza do código proposto por GitHub implica que os membros do GitHub Security Lab identifiquen as vulnerabilidades, que logo se comunicarán aos mantedores e desenvolvedores, quen desenvolverán correccións, coordinarán cando revelar o problema e informarán aos proxectos dependentes para instalar a versión eliminando a vulnerabilidade. A base de datos conterá modelos CodeQL para evitar a reaparición de problemas resoltos no código presente en GitHub.
A través da interface de GitHub agora podes identificador CVE para o problema identificado e elaborará un informe, e o propio GitHub enviará as notificacións necesarias e organizará a súa corrección coordinada. Ademais, unha vez resolto o problema, GitHub enviará automaticamente solicitudes de extracción para actualizar as dependencias asociadas ao proxecto afectado.
GitHub tamén engadiu unha lista de vulnerabilidades , que publica información sobre vulnerabilidades que afectan a proxectos en GitHub e información para rastrexar os paquetes e repositorios afectados. Os identificadores CVE mencionados nos comentarios en GitHub agora enlazan automaticamente a información detallada sobre a vulnerabilidade na base de datos enviada. Para automatizar o traballo coa base de datos, un separado .
Tamén se informa da actualización para protexer contra a repositorios de acceso público
datos sensibles como tokens de autenticación e claves de acceso. Durante unha commit, o escáner comproba os formatos típicos de clave e token utilizados , incluíndo Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack e Stripe. Se se identifica un token, envíase unha solicitude ao fornecedor de servizos para confirmar a fuga e revogar os tokens comprometidos. A partir de onte, ademais dos formatos admitidos anteriormente, engadiuse soporte para definir tokens GoCardless, HashiCorp, Postman e Tencent.
Fonte: opennet.ru