GitHub dengan inisiatif tersebut , bertujuan untuk mengatur kolaborasi pakar keamanan dari berbagai perusahaan dan organisasi untuk mengidentifikasi kerentanan dan membantu menghilangkannya dalam kode proyek sumber terbuka.
Semua perusahaan yang tertarik dan spesialis keamanan komputer individu diundang untuk bergabung dalam inisiatif ini. Untuk mengidentifikasi kerentanan pembayaran hadiah hingga $3000, tergantung pada tingkat keparahan masalah dan kualitas laporan. Kami menyarankan penggunaan perangkat ini untuk mengirimkan informasi masalah. , yang memungkinkan Anda membuat templat kode yang rentan untuk mengidentifikasi keberadaan kerentanan serupa dalam kode proyek lain (CodeQL memungkinkan untuk melakukan analisis semantik kode dan menghasilkan kueri untuk mencari struktur tertentu).
Peneliti keamanan dari F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber dan
VMWare, yang selama dua tahun terakhir ΠΈ 105 kerentanan dalam proyek seperti Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog , Apache Geode dan Hadoop.
Siklus hidup keamanan kode yang diusulkan GitHub melibatkan anggota Lab Keamanan GitHub yang mengidentifikasi kerentanan, yang kemudian akan dikomunikasikan kepada pengelola dan pengembang, yang akan mengembangkan perbaikan, mengoordinasikan kapan harus mengungkapkan masalah, dan menginformasikan proyek-proyek yang bergantung untuk menginstal versi tersebut, serta menghilangkan kerentanan tersebut. Basis data akan berisi templat CodeQL untuk mencegah munculnya kembali masalah yang terselesaikan dalam kode yang ada di GitHub.
Melalui antarmuka GitHub sekarang Anda bisa Pengidentifikasi CVE untuk masalah yang teridentifikasi dan menyiapkan laporan, dan GitHub sendiri akan mengirimkan pemberitahuan yang diperlukan dan mengatur koreksi terkoordinasi. Selain itu, setelah masalah teratasi, GitHub akan secara otomatis mengirimkan permintaan penarikan untuk memperbarui dependensi yang terkait dengan proyek yang terpengaruh.
GitHub juga menambahkan daftar kerentanan , yang menerbitkan informasi tentang kerentanan yang memengaruhi proyek di GitHub dan informasi untuk melacak paket dan repositori yang terpengaruh. Pengidentifikasi CVE yang disebutkan dalam komentar di GitHub sekarang secara otomatis tertaut ke informasi terperinci tentang kerentanan dalam database yang dikirimkan. Untuk mengotomatisasi pekerjaan dengan database, yang terpisah .
Pembaruan juga dilaporkan untuk melindungi ke repositori yang dapat diakses publik
data sensitif seperti token otentikasi dan kunci akses. Selama penerapan, pemindai memeriksa format kunci dan token yang umum digunakan , termasuk Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack, dan Stripe. Jika token teridentifikasi, permintaan dikirim ke penyedia layanan untuk mengonfirmasi kebocoran dan mencabut token yang disusupi. Mulai kemarin, selain format yang didukung sebelumnya, dukungan untuk mendefinisikan token GoCardless, HashiCorp, Postman, dan Tencent telah ditambahkan.
Sumber: opennet.ru