GitHub me ka manao , i manaʻo e hoʻonohonoho i ka hui pū ʻana o nā loea palekana mai nā hui like ʻole a me nā hui e ʻike i nā nāwaliwali a kōkua i ka hoʻopau ʻana iā lākou i ke code o nā papahana open source.
Ua kono ʻia nā ʻoihana hoihoi a me nā loea palekana kamepiula hoʻokahi e komo i ka hana. No ka ʻike ʻana i ka nāwaliwali ka uku o ka uku a hiki i $3000, ma muli o ke koʻikoʻi o ka pilikia a me ka maikaʻi o ka hōʻike. Manaʻo mākou e hoʻohana i ka mea hana e hoʻouna i ka ʻike pilikia. , ka mea e hiki ai iā ʻoe ke hana i kahi mamana o nā code vulnerable e ʻike ai i ka hiki ʻana o kahi nāwaliwali like i loko o ke code o nā papahana ʻē aʻe (CodeQL e hiki ai ke hana i ka loiloi semantic o ke code a hana i nā nīnau e ʻimi ai i kekahi mau hale).
Nā mea noiʻi palekana mai F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber a me
VMWare, i nā makahiki ʻelua i hala и 105 mau haʻahaʻa i nā papahana e like me Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ilignite, rsy , Apache Geode a me Hadoop.
ʻO ke ola palekana code code a GitHub e pili ana i nā lālā o GitHub Security Lab e ʻike ana i nā nāwaliwali, a laila e kamaʻilio ʻia i nā mea mālama a me nā mea hoʻomohala, nāna e hoʻomohala i nā hoʻoponopono, hoʻonohonoho i ka wā e hōʻike ai i ka pilikia, a hoʻomaopopo i nā papahana hilinaʻi e hoʻokomo i ka mana. E loaʻa i ka waihona i nā template CodeQL e pale i ka puka hou ʻana o nā pilikia i hoʻoholo ʻia ma ke code i loaʻa ma GitHub.
Ma o ke kikowaena GitHub hiki iā ʻoe i kēia manawa CVE identifier no ka pilikia i ʻike ʻia a hoʻomākaukau i kahi hōʻike, a ʻo GitHub ponoʻī e hoʻouna i nā leka hoʻomaopopo pono a hoʻonohonoho i kā lākou hoʻoponopono hoʻoponopono. Eia kekahi, ke hoʻoholo ʻia ka pilikia, e hoʻouna koke ʻo GitHub i nā noi huki e hoʻonui i nā hilinaʻi e pili ana i ka papahana pili.
Ua hoʻohui pū ʻo GitHub i kahi papa inoa o nā nāwaliwali , ka mea e hoʻopuka i ka ʻike e pili ana i nā nāwaliwali e pili ana i nā papahana ma GitHub a me ka ʻike e nānā i nā pūʻolo a me nā waihona i hoʻopili ʻia. ʻO nā mea hōʻike CVE i ʻōlelo ʻia ma nā manaʻo ma GitHub i kēia manawa e hoʻopili koke i ka ʻike kikoʻī e pili ana i ka nāwaliwali i ka waihona i waiho ʻia. No ka automate hana me ka waihona, he kaawale .
Hōʻike ʻia ka mea hou e pale aku i nā waihona waihona i hiki i ka lehulehu
ʻikepili koʻikoʻi e like me nā hōʻailona hōʻoia a me nā kī komo. I ka wā e hana ai, nānā ka scanner i ke kī maʻamau a me nā palapala hōʻailona i hoʻohana ʻia , me Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack a me Stripe. Inā ʻike ʻia kahi hōʻailona, hoʻouna ʻia kahi noi i ka mea lawelawe e hōʻoia i ka leak a hoʻopau i nā hōʻailona i hoʻopaʻa ʻia. E like me nehinei, ma kahi o nā ʻano i kākoʻo mua ʻia, ua hoʻohui ʻia ke kākoʻo no ka wehewehe ʻana i nā hōʻailona GoCardless, HashiCorp, Postman a me Tencent.
Source: opennet.ru