GitHub նախաձեռնությամբ , որի նպատակն է կազմակերպել տարբեր ընկերությունների և կազմակերպությունների անվտանգության փորձագետների համագործակցությունը՝ բացահայտելու խոցելիությունը և աջակցելու դրանք վերացնելու բաց կոդով նախագծերի կոդում:
Նախաձեռնությանը հրավիրվում են միանալու բոլոր հետաքրքրված ընկերությունները և համակարգչային անվտանգության անհատ մասնագետները։ Խոցելիությունը բացահայտելու համար մինչև 3000 ԱՄՆ դոլար պարգևի վճարում՝ կախված խնդրի ծանրությունից և հաշվետվության որակից: Առաջարկում ենք օգտագործել գործիքակազմը՝ խնդրի մասին տեղեկատվություն ներկայացնելու համար: , որը թույլ է տալիս ստեղծել խոցելի կոդի ձևանմուշ՝ բացահայտելու նմանատիպ խոցելիության առկայությունը այլ նախագծերի կոդում (CodeQL-ը հնարավորություն է տալիս կատարել կոդի իմաստային վերլուծություն և ստեղծել հարցումներ՝ որոշակի կառույցներ որոնելու համար):
Նախաձեռնությանը արդեն միացել են F5, Google, HackerOne, Intel, IOActive, J.P. անվտանգության հետազոտողները։ Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber և
VMWare-ը, որը վերջին երկու տարիների ընթացքում и 105 խոցելիություն այնպիսի նախագծերում, ինչպիսիք են Chromium, libssh2, Linux միջուկը, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, Icecast, Apache Strutte, IsterscheSgwan , Apache Geode և Hadoop:
GitHub-ի առաջարկած կոդի անվտանգության կյանքի ցիկլը ներառում է GitHub Security Lab-ի անդամներին՝ բացահայտելով խոցելիությունները, որոնք այնուհետև կհաղորդվեն սպասարկողներին և մշակողներին, որոնք կմշակեն ուղղումներ, կհամակարգեն, թե երբ պետք է բացահայտեն խնդիրը և կտեղեկացնեն կախյալ նախագծերին՝ տարբերակը տեղադրելու համար՝ վերացնելով խոցելիությունը: Տվյալների բազան կպարունակի CodeQL ձևանմուշներ՝ կանխելու համար GitHub-ում առկա կոդի մեջ լուծված խնդիրների նորից հայտնվելը:
GitHub ինտերֆեյսի միջոցով այժմ կարող եք CVE նույնացուցիչը հայտնաբերված խնդրի համար և պատրաստի հաշվետվություն, իսկ GitHub-ն ինքը կուղարկի անհրաժեշտ ծանուցումները և կկազմակերպի դրանց համակարգված ուղղումը: Ավելին, երբ խնդիրը լուծվի, GitHub-ն ինքնաբերաբար կներկայացնի ձգողական հարցումներ՝ ազդակիր նախագծի հետ կապված կախվածությունները թարմացնելու համար:
GitHub-ը նաև ավելացրել է խոցելիության ցանկը , որը հրապարակում է տեղեկատվություն GitHub-ում նախագծերի վրա ազդող խոցելիության մասին և տեղեկատվություն՝ հետևելու տուժած փաթեթներին և պահեստներին: GitHub-ի մեկնաբանություններում նշված CVE նույնացուցիչներն այժմ ավտոմատ կերպով կապում են ներկայացված տվյալների բազայի խոցելիության մասին մանրամասն տեղեկատվությանը: Տվյալների բազայի հետ աշխատանքը ավտոմատացնելու համար առանձին .
Հաղորդվում է նաև թարմացումների մասին դեմ պաշտպանվելու համար դեպի հանրությանը հասանելի պահոցներ
զգայուն տվյալներ, ինչպիսիք են նույնականացման նշանները և մուտքի բանալիները: Հանձնարարականի ընթացքում սկաները ստուգում է օգտագործված բանալու և նշանի բնորոշ ձևաչափերը , այդ թվում՝ Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack և Stripe: Եթե նշան է հայտնաբերվում, ծառայության մատակարարին հարցում է ուղարկվում՝ հաստատելու արտահոսքը և չեղյալ համարելու վտանգված նշանները: Երեկվա դրությամբ, ի լրումն նախկինում աջակցվող ձևաչափերի, ավելացվել է GoCardless, HashiCorp, Postman և Tencent նշանների սահմանման աջակցություն։
Source: opennet.ru