GitHub con iniziativa , volto a organizzare la collaborazione di esperti di sicurezza di varie aziende e organizzazioni per identificare le vulnerabilità e assistere nella loro eliminazione nel codice dei progetti open source.
Tutte le aziende interessate e i singoli specialisti di sicurezza informatica sono invitati ad aderire all'iniziativa. Per identificare la vulnerabilità pagamento di una ricompensa fino a 3000 dollari, a seconda della gravità del problema e della qualità della segnalazione. Ti consigliamo di utilizzare il toolkit per inviare informazioni sul problema. , che consente di generare un modello di codice vulnerabile per identificare la presenza di una vulnerabilità simile nel codice di altri progetti (CodeQL consente di condurre analisi semantiche del codice e generare query per cercare determinate strutture).
Ricercatori di sicurezza di F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber e
VMWare, che negli ultimi due anni и 105 vulnerabilità in progetti come Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog , Apache Geode e Hadoop.
Il ciclo di vita della sicurezza del codice proposto da GitHub prevede che i membri di GitHub Security Lab identifichino le vulnerabilità, che verranno poi comunicate a manutentori e sviluppatori, che svilupperanno correzioni, coordineranno quando divulgare il problema e informeranno i progetti dipendenti per installare la versione eliminando la vulnerabilità. Il database conterrà template CodeQL per evitare la ricomparsa di problemi risolti nel codice presente su GitHub.
Attraverso l'interfaccia GitHub ora puoi Identificatore CVE per il problema identificato e preparerà un rapporto, e GitHub stesso invierà le notifiche necessarie e organizzerà la loro correzione coordinata. Inoltre, una volta risolto il problema, GitHub invierà automaticamente richieste pull per aggiornare le dipendenze associate al progetto interessato.
GitHub ha anche aggiunto un elenco di vulnerabilità , che pubblica informazioni sulle vulnerabilità che interessano i progetti su GitHub e informazioni per tenere traccia dei pacchetti e dei repository interessati. Gli identificatori CVE menzionati nei commenti su GitHub ora si collegano automaticamente a informazioni dettagliate sulla vulnerabilità nel database inviato. Per automatizzare il lavoro con il database, un file separato .
Viene segnalato anche l'aggiornamento per proteggersi da in archivi accessibili al pubblico
dati sensibili come token di autenticazione e chiavi di accesso. Durante un commit, lo scanner controlla i formati tipici di chiave e token utilizzati , tra cui Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack e Stripe. Se viene identificato un token, viene inviata una richiesta al fornitore di servizi per confermare la perdita e revocare i token compromessi. Da ieri, oltre ai formati precedentemente supportati, è stato aggiunto il supporto per definire i token GoCardless, HashiCorp, Postman e Tencent.
Fonte: opennet.ru