GitHub s inicijativom , s ciljem organiziranja suradnje sigurnosnih stručnjaka iz različitih tvrtki i organizacija kako bi se identificirale ranjivosti i pomoglo u njihovom uklanjanju u kodu projekata otvorenog koda.
Pozivaju se sve zainteresirane tvrtke i pojedinci stručnjaci za računalnu sigurnost da se pridruže inicijativi. Za prepoznavanje ranjivosti isplata nagrade do 3000 USD, ovisno o težini problema i kvaliteti izvješća. Predlažemo korištenje alata za slanje informacija o problemu. , koji vam omogućuje generiranje predloška ranjivog koda za prepoznavanje prisutnosti slične ranjivosti u kodu drugih projekata (CodeQL omogućuje provođenje semantičke analize koda i generiranje upita za traženje određenih struktura).
Sigurnosni istraživači iz F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber i
VMWare, koji je u posljednje dvije godine и 105 ranjivosti u projektima kao što su Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog , Apache Geode i Hadoop.
GitHubov predloženi životni ciklus sigurnosti koda uključuje članove GitHub Security Laba koji identificiraju ranjivosti, koje će zatim biti priopćene održavateljima i programerima, koji će razviti popravke, koordinirati kada treba otkriti problem i obavijestiti ovisne projekte da instaliraju verziju uz uklanjanje ranjivosti. Baza podataka će sadržavati CodeQL predloške kako bi se spriječilo ponovno pojavljivanje riješenih problema u kodu prisutnom na GitHubu.
Preko GitHub sučelja sada možete CVE identifikator za uočeni problem i pripremiti izvješće, a GitHub će sam poslati potrebne obavijesti i organizirati njihovo koordinirano ispravljanje. Štoviše, nakon što se problem riješi, GitHub će automatski poslati zahtjeve za povlačenjem za ažuriranje ovisnosti povezanih s pogođenim projektom.
GitHub je također dodao popis ranjivosti , koji objavljuje informacije o ranjivostima koje utječu na projekte na GitHubu i informacije za praćenje pogođenih paketa i repozitorija. CVE identifikatori spomenuti u komentarima na GitHubu sada se automatski povezuju s detaljnim informacijama o ranjivosti u poslanoj bazi podataka. Za automatizaciju rada s bazom podataka, poseban .
Ažuriranje je također prijavljeno zaštititi od u javno dostupna spremišta
osjetljive podatke kao što su autentifikacijski tokeni i pristupni ključevi. Tijekom predaje, skener provjerava tipične korištene formate ključa i tokena , uključujući Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack i Stripe. Ako je token identificiran, zahtjev se šalje davatelju usluge da potvrdi curenje i opozove ugrožene tokene. Od jučer je uz ranije podržane formate dodana i podrška za definiranje GoCardless, HashiCorp, Postman i Tencent tokena.
Izvor: opennet.ru