GitHub a kezdeményezéssel , melynek célja a különböző cégek és szervezetek biztonsági szakértőinek együttműködésének megszervezése a sérülékenységek azonosítása és a kiküszöbölésük segítése érdekében a nyílt forráskódú projektek kódjában.
A kezdeményezéshez minden érdeklődő céget és egyéni számítástechnikai biztonsági szakembert várnak. A sebezhetőség azonosítására a probléma súlyosságától és a jelentés minőségétől függően legfeljebb 3000 USD jutalom kifizetése. Javasoljuk, hogy használja az eszközkészletet a probléma információinak elküldéséhez. , amely lehetővé teszi a sebezhető kód sablonjának létrehozását, hogy azonosítsa a hasonló sérülékenység jelenlétét más projektek kódjában (a CodeQL lehetővé teszi a kód szemantikai elemzését és lekérdezések generálását bizonyos struktúrák kereséséhez).
Az F5, a Google, a HackerOne, az Intel, az IOActive, a J.P. biztonsági kutatói már csatlakoztak a kezdeményezéshez. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber és
VMWare, amely az elmúlt két évben и 105 sebezhetőség olyan projektekben, mint a Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, Apache Struts, strongysswante, , Apache Geode és Hadoop.
A GitHub javasolt kódbiztonsági életciklusa magában foglalja a GitHub Security Lab tagjait, hogy azonosítsák a biztonsági réseket, amelyeket ezután közölnek a karbantartókkal és a fejlesztőkkel, akik javításokat dolgoznak ki, egyeztetik a probléma közzétételének idejét, és tájékoztatják a függő projekteket a verzió telepítéséről. Az adatbázis CodeQL-sablonokat fog tartalmazni, hogy megakadályozzák a megoldott problémák újbóli megjelenését a GitHubon található kódban.
A GitHub felületén most már megteheti CVE azonosítót az azonosított problémára és jelentést készítenek, a GitHub pedig maga küldi ki a szükséges értesítéseket és megszervezi azok összehangolt javítását. Ezenkívül a probléma megoldása után a GitHub automatikusan lekérési kérelmeket küld az érintett projekthez kapcsolódó függőségek frissítésére.
A GitHub a sebezhetőségek listáját is hozzáadta , amely információkat tesz közzé a GitHubon lévő projekteket érintő sebezhetőségekről, valamint az érintett csomagok és adattárak nyomon követéséhez. A GitHub megjegyzéseiben említett CVE-azonosítók mostantól automatikusan hivatkoznak a beküldött adatbázisban található sebezhetőségre vonatkozó részletes információkra. Az adatbázissal végzett munka automatizálásához külön .
A frissítésről is beszámoltak ellen védekezni nyilvánosan elérhető adattárakba
érzékeny adatok, például hitelesítési tokenek és hozzáférési kulcsok. A véglegesítés során a lapolvasó ellenőrzi a használt tipikus kulcs- és tokenformátumokat , köztük az Alibaba Cloud API, az Amazon Web Services (AWS), az Azure, a Google Cloud, a Slack és a Stripe. Ha egy token azonosításra kerül, a rendszer egy kérést küld a szolgáltatónak a szivárgás megerősítésére és a feltört tokenek visszavonására. Tegnaptól a korábban támogatott formátumok mellett a GoCardless, HashiCorp, Postman és Tencent tokenek meghatározásának támogatása is bekerült.
Forrás: opennet.ru