Tampaknya manajemen GitHub serius memikirkan keamanan perangkat lunak. Pertama ada gudang data di Svalbard dan dukungan finansial untuk pengembang. Dan sekarang inisiatif GitHub Security Lab, yang melibatkan partisipasi semua spesialis yang tertarik dalam meningkatkan keamanan perangkat lunak sumber terbuka.
F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber dan VMWare sudah berpartisipasi dalam inisiatif ini. Selama dua tahun terakhir, mereka telah membantu mengidentifikasi dan menghilangkan 105 kerentanan di sejumlah proyek.
Peserta lain dijanjikan hadiah hingga $3000 untuk kerentanan yang teridentifikasi. Antarmuka GitHub sudah memiliki kemampuan untuk mendapatkan pengidentifikasi CVE untuk suatu masalah dan membuat laporan tentangnya. Katalog kerentanan telah diluncurkan , berisi informasi tentang masalah pada aplikasi yang dihosting di GitHub, paket yang rentan, dan sebagainya.
Selain itu, perlindungan yang diperbarui telah ditambahkan ke sistem, yang memastikan bahwa data pribadi dan rahasia, seperti token, kunci, dan sejenisnya, tidak berakhir di repositori publik. Diduga, sistem secara otomatis memindai format utama dari 20 layanan dan sistem cloud. Jika masalah terdeteksi, permintaan dikirim ke penyedia layanan untuk mengonfirmasi masalah dan mencabut kunci yang disusupi.
Perhatikan bahwa GitHub sebelumnya diakuisisi oleh Microsoft. Tampaknya Redmond telah memutuskan untuk memperhatikan keamanan data dengan serius.
Sumber: 3dnews.ru