GitHub նախաձեռնությամբ , որի նպատակն էր կազմակերպել տարբեր ընկերությունների և կազմակերպությունների անվտանգության մասնագետների համատեղ աշխատանք՝ բաց կոդով նախագծերի կոդում խոցելիությունները բացահայտելու և դրանք վերացնելուն նպաստելու համար։
Բոլոր հետաքրքրված ընկերությունները և համակարգչային անվտանգության անհատ մասնագետները հրավիրվում են միանալ նախաձեռնությանը: Խոցելիության հայտնաբերման համար մինչև 3000 դոլար պարգևատրման վճարում՝ կախված խնդրի լրջությունից և զեկույցի որակից: Խնդիրների մասին տեղեկատվություն ներկայացնելու համար խորհուրդ է տրվում օգտագործել գործիքը: , որը թույլ է տալիս ստեղծել խոցելի կոդի ձևանմուշ՝ այլ նախագծերի կոդում նմանատիպ խոցելիության առկայությունը հայտնաբերելու համար (CodeQL-ը հնարավորություն է տալիս կատարել կոդի սեմանտիկ վերլուծություն և ստեղծել հարցումներ՝ որոշակի կառուցվածքներ որոնելու համար):
Նախաձեռնությանը արդեն միացել են անվտանգության հետազոտողներ F5-ից, Google-ից, HackerOne-ից, Intel-ից, IOActive-ից, JP Morgan-ից, LinkedIn-ից, Microsoft-ից, Mozilla-ից, NCC Group-ից, Oracle-ից, Trail of Bits-ից, Uber-ից և…
VMWare-ը, որը վերջին երկու տարիների ընթացքում и 105 խոցելիություն այնպիսի նախագծերում, ինչպիսիք են Chromium-ը, libssh2-ը, kernel-ը Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode և Hadoop:
GitHub-ի առաջարկած կոդի անվտանգության կենսացիկլը ենթադրում է, որ GitHub Security Lab-ի անդամները բացահայտում են խոցելիությունները, որոնք այնուհետև հաղորդվում են սպասարկողներին և մշակողներին, ովքեր կմշակեն շտկումներ, կհամակարգեն բացահայտման ժամկետները և կտեղեկացնեն կախյալ նախագծերին խոցելիությունը շտկած տարբերակ տեղադրելու անհրաժեշտության մասին: Տվյալների բազան կպարունակի CodeQL ձևանմուշներ՝ GitHub-ի կոդում շտկված խնդիրների կրկին հայտնվելը կանխելու համար:
Այժմ կարող եք օգտագործել GitHub ինտերֆեյսը CVE նույնականացուցիչը հայտնաբերված խնդրի համար և կպատրաստի զեկույց, որից հետո GitHub-ը կուղարկի անհրաժեշտ ծանուցումները և կկազմակերպի դրանց համակարգված լուծումը: Ավելին, խնդրի լուծումից հետո GitHub-ը ավտոմատ կերպով կուղարկի pull requests՝ խոցելի նախագծի հետ կապված կախվածությունները թարմացնելու համար:
GitHub-ը նաև իր կայքում ավելացրել է խոցելիությունների կատալոգ։ , որը հրապարակում է տեղեկատվություն GitHub-ում նախագծերին ազդող խոցելիությունների մասին և տեղեկատվություն տուժած փաթեթների և պահոցների հետևման վերաբերյալ: GitHub-ում մեկնաբանություններում նշված CVE նույնականացուցիչները այժմ ավտոմատ կերպով կապվում են ներկայացված տվյալների բազայում խոցելիության մասին մանրամասն տեղեկատվության հետ: Առանձին .
Հաղորդվում է նաև թարմացման մասին պաշտպանվել հանրությանը հասանելի պահոցներին
զգայուն տվյալներ, ինչպիսիք են նույնականացման տոկենները և մուտքի բանալիները: Համաձայնեցման ընթացքում սկաները ստուգում է օգտագործվող բանալու և տոկենների բնորոշ ձևաչափերը: , ներառյալ Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack և Stripe API-ները: Եթե թոքեն է հայտնաբերվում, ծառայություն մատուցողին ուղարկվում է հարցում՝ արտահոսքը հաստատելու և վնասված թոքենները չեղարկելու համար: Երեկվանից, նախկինում աջակցվող ձևաչափերից բացի, ավելացվել է նաև GoCardless, HashiCorp, Postman և Tencent թոքենների հայտնաբերման աջակցություն:
Source: opennet.ru
