GitHub ak inisyativ , ki vize pou òganize kolaborasyon ekspè sekirite ki soti nan divès konpayi ak òganizasyon pou idantifye frajilite yo epi ede elimine yo nan kòd pwojè sous louvri.
Tout konpayi ki enterese ak espesyalis sekirite òdinatè endividyèl yo envite pou rantre nan inisyativ la. Pou idantifye vilnerabilite a peman yon rekonpans ki rive jiska $3000, tou depann de gravite pwoblèm nan ak kalite rapò a. Nou sijere pou w sèvi ak zouti pou soumèt enfòmasyon sou pwoblèm. , ki pèmèt ou jenere yon modèl nan kòd vilnerab yo idantifye prezans nan yon vilnerabilite ki sanble nan kòd la nan lòt pwojè (CodeQL fè li posib fè analiz semantik nan kòd ak jenere demann pou fè rechèch pou sèten estrikti).
Chèchè sekirite nan F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber ak
VMWare, ki sou de ane ki sot pase yo и 105 vilnerabilite nan pwojè tankou Chromium, libssh2, Linux Kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rs. , Apache Geode ak Hadoop.
Sik lavi sekirite kòd GitHub pwopoze a enplike manm Laboratwa Sekirite GitHub yo idantifye vilnerabilite yo, ki pral Lè sa a, kominike bay moun k ap antreteni yo ak devlopè yo, ki pral devlope koreksyon, kowòdone lè yo divilge pwoblèm nan, epi enfòme pwojè depandan yo enstale vèsyon an. Baz done a pral genyen modèl CodeQL pou anpeche pwoblèm ki rezoud yo parèt ankò nan kòd ki prezan sou GitHub.
Atravè koòdone GitHub ou kapab kounye a Idantifyan CVE pou pwoblèm idantifye a epi prepare yon rapò, epi GitHub tèt li pral voye notifikasyon ki nesesè yo epi òganize koreksyon kowòdone yo. Anplis, yon fwa pwoblèm nan rezoud, GitHub pral otomatikman soumèt demann rale pou mete ajou depandans ki asosye ak pwojè ki afekte a.
GitHub te ajoute tou yon lis frajilite , ki pibliye enfòmasyon sou frajilite ki afekte pwojè yo sou GitHub ak enfòmasyon pou swiv pakè ki afekte yo ak depo. Idantifyan CVE mansyone nan kòmantè sou GitHub kounye a otomatikman konekte ak enfòmasyon detaye sou vilnerabilite nan baz done a soumèt. Otomatize travay ak baz done a, yon separe .
Mizajou rapòte tou pou pwoteje kont nan depo piblikman aksesib
done sansib tankou siy otantifikasyon ak kle aksè. Pandan yon komèt, eskanè a tcheke fòma tipik kle ak siy yo itilize , ki gen ladan Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack ak Stripe. Si yo idantifye yon siy, yo voye yon demann bay founisè sèvis la pou konfime flit la epi revoke siy konpwomèt yo. Depi yè, anplis fòma ki te deja sipòte yo, yo te ajoute sipò pou defini GoCardless, HashiCorp, Postman ak Tencent.
Sous: opennet.ru