Sembra che il management di GitHub stia seriamente pensando alla sicurezza del software. Prima c'era un data warehouse alle Svalbard e supporto finanziario per gli sviluppatori. E adesso l'iniziativa GitHub Security Lab, che prevede la partecipazione di tutti gli specialisti interessati al miglioramento della sicurezza del software open source.
All’iniziativa stanno già aderendo F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber e VMWare. Negli ultimi due anni hanno contribuito a identificare ed eliminare 105 vulnerabilità in numerosi progetti.
Ad altri partecipanti sono stati promessi premi fino a 3000 dollari per le vulnerabilità identificate. L'interfaccia GitHub ha già la capacità di ottenere l'identificatore CVE per un problema e creare un report al riguardo. È stato lanciato un catalogo delle vulnerabilità , contenente informazioni sui problemi con le applicazioni ospitate su GitHub, pacchetti vulnerabili e così via.
Inoltre, al sistema è già stata aggiunta una protezione aggiornata, che garantisce che i dati personali e riservati, come token, chiavi e simili, non finiscano negli archivi pubblici. Presumibilmente il sistema scansiona automaticamente i formati chiave di 20 servizi e sistemi cloud. Se viene rilevato un problema, viene inviata una richiesta al fornitore di servizi per confermare il problema e revocare le chiavi compromesse.
Tieni presente che GitHub è stato precedentemente acquisito da Microsoft. Sembra che Redmond abbia deciso di prendere sul serio la sicurezza dei dati.
Fonte: 3dnews.ru