GitHub השיקה פרויקט משותף לזיהוי נקודות תורפה בתוכנת קוד פתוח

GitHub עשוי עם היוזמה מעבדת אבטחה GitHub, שמטרתו לארגן את שיתוף הפעולה של מומחי אבטחה מחברות וארגונים שונים כדי לזהות נקודות תורפה ולסייע בהעלמתן בקוד של פרויקטי קוד פתוח.

כל החברות המעוניינות ומומחי אבטחת מחשבים בודדים מוזמנים להצטרף ליוזמה. לזיהוי הפגיעות מסופק תשלום פרס של עד $3000, בהתאם לחומרת הבעיה ואיכות הדיווח. אנו ממליצים להשתמש בערכת הכלים כדי לשלוח מידע על בעיה. CodeQL, המאפשר ליצור תבנית של קוד פגיע לזיהוי נוכחות של פגיעות דומה בקוד של פרויקטים אחרים (CodeQL מאפשר לבצע ניתוח סמנטי של קוד ויצירת שאילתות לחיפוש מבנים מסוימים).

חוקרי אבטחה מ-F5, גוגל, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber ו
VMWare, אשר במהלך השנתיים האחרונות גילה и עזר לי לתקן את זה 105 פגיעויות בפרויקטים כגון Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, , Apache Geode ו-Hadoop.

מחזור החיים המוצע של אבטחת הקוד של GitHub כרוך בחברי מעבדת האבטחה של GitHub המזהים נקודות תורפה, אשר לאחר מכן יועברו למתחילים ולמפתחים, אשר יפתחו תיקונים, יתאמו מתי לחשוף את הבעיה ויודיעו לפרויקטים התלויים להתקין את הגרסה, תוך ביטול הפגיעות. מסד הנתונים יכיל תבניות CodeQL כדי למנוע הופעה חוזרת של בעיות שנפתרו בקוד הקיים ב-GitHub.

דרך ממשק GitHub אתה יכול עכשיו לקבל מזהה CVE לבעיה שזוהתה ולהכין דוח, ו-GitHub עצמו ישלח את ההתראות הדרושות ויארגן את התיקון המתואם שלהם. יתרה מכך, ברגע שהבעיה תיפתר, GitHub יגיש אוטומטית בקשות משיכה לעדכון תלות הקשורות לפרויקט המושפע.

GitHub הוסיפה גם רשימה של פגיעויות מסד ייעוץ של GitHub, המפרסם מידע על נקודות תורפה המשפיעות על פרויקטים ב-GitHub ומידע למעקב אחר חבילות ומאגרים מושפעים. מזהי CVE שהוזכרו בהערות ב-GitHub מקשרים כעת אוטומטית למידע מפורט על הפגיעות במסד הנתונים שהוגש. כדי להפוך את העבודה לאוטומטית עם מסד הנתונים, נפרד API.

מדווח גם על עדכון שירות להגן מפני להיטים למאגרים נגישים לציבור
נתונים רגישים כגון אסימוני אימות ומפתחות גישה. במהלך commit, הסורק בודק את הפורמטים האופייניים של מפתח ואסימון בשימוש 20 ספקי ושירותי ענן, כולל Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack ו-Stripe. אם מזוהה אסימון, נשלחת בקשה לספק השירות לאשר את הדליפה ולבטל את האסימונים שנפרצו. החל מאתמול, בנוסף לפורמטים שנתמכו בעבר, נוספה תמיכה בהגדרת אסימוני GoCardless, HashiCorp, Postman ו-Tencent.

מקור: OpenNet.ru