GitHub יזם פרויקט לחיפוש נקודות תורפה בתוכנת קוד פתוח

נראה שניהול GitHub חושב ברצינות על אבטחת תוכנה. תחילה היה מחסן נתונים בסוואלברד ו פרויקט תמיכה כספית למפתחים. ועכשיו הופיע יוזמת GitHub Security Lab, הכוללת השתתפות של כל המומחים המעוניינים בשיפור האבטחה של תוכנות קוד פתוח.

היוזמה כבר כוללת את F5, גוגל, HackerOne, Intel, IOActive, J.P. מורגן, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber ו-VMWare. במהלך השנתיים האחרונות, הם עזרו לזהות ולחסל 105 פגיעויות במספר פרויקטים.

למשתתפים אחרים הובטח תגמולים של עד 3000 דולר עבור נקודות תורפה שזוהו. לממשק GitHub כבר יש את היכולת לקבל את מזהה ה-CVE עבור בעיה וליצור דוח עליה. הושק קטלוג של נקודות תורפה מסד ייעוץ של GitHub, המכיל מידע על בעיות באפליקציות המתארחות ב-GitHub, חבילות פגיעות וכן הלאה.

כמו כן, למערכת כבר נוספה הגנה מעודכנת, המבטיחה כי נתונים אישיים וסודיים, כמו טוקנים, מפתחות וכדומה, לא יגיעו למאגרים ציבוריים. לכאורה, המערכת סורקת אוטומטית פורמטים מרכזיים מ-20 שירותים ומערכות ענן. אם מזוהה בעיה, נשלחת בקשה לספק השירות לאשר את הבעיה ולבטל את המפתחות שנפרצו.

שימו לב ש-GitHub נרכשה בעבר על ידי מיקרוסופט. נראה שרדמונד החליט להתייחס ברצינות לאבטחת מידע.

מקור: 3dnews.ru