GitHub עם היוזמה , שמטרתה לארגן עבודה משותפת של מומחי אבטחה מחברות וארגונים שונים כדי לזהות פגיעויות ולסייע בביטולן בקוד של פרויקטים בקוד פתוח.
כל החברות המעוניינות ומומחי אבטחת מחשבים פרטיים מוזמנים להצטרף ליוזמה. לצורך זיהוי פגיעות תגמול של עד 3000 דולר ישולם, בהתאם לחומרת הבעיה ולאיכות הדוח. כדי לשלוח מידע על בעיות, אנו ממליצים להשתמש בכלי. , המאפשר לך ליצור תבנית של קוד פגיע כדי לזהות את נוכחותה של פגיעות דומה בקוד של פרויקטים אחרים (CodeQL מאפשר לך לבצע ניתוח סמנטי של קוד וליצור שאילתות כדי לחפש מבנים ספציפיים).
ליוזמה כבר הצטרפו חוקרי אבטחה מ-F5, גוגל, HackerOne, אינטל, IOActive, JP Morgan, לינקדאין, מיקרוסופט, מוזילה, NCC Group, אורקל, Trail of Bits, אובר ו...
VMWare, אשר בשנתיים האחרונות и 105 פגיעויות בפרויקטים כמו Chromium, libssh2, ליבה Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode ו-Hadoop.
מחזור החיים של אבטחת הקוד המוצע של GitHub דורש מחברי מעבדת האבטחה של GitHub לזהות פגיעויות. לאחר מכן, בעיות אלו ידווחו לתחזוקה ולמפתחים, אשר יפתחו תיקונים, יתאמו את עיתוי הגילוי ויודיעו לפרויקטים תלויים להתקין את הגרסה המעודכנת. מסד הנתונים יכיל תבניות CodeQL כדי למנוע הישנות של בעיות מתוקנות בקוד המתארח ב-GitHub.
כעת ניתן להשתמש בממשק GitHub שלחו את מזהה ה-CVE עבור הבעיה שזוהתה והכינו דוח, ו-GitHub ישלח לאחר מכן את ההתראות הנדרשות ויארגן תיקון מתואם. יתר על כן, לאחר פתרון הבעיה, GitHub ישלח אוטומטית בקשות משיכה (pull requests) כדי לעדכן את התלויות הקשורות לפרויקט הפגיע.
גיטהאב גם הוסיפה קטלוג פגיעויות לאתר שלה. , אשר מפרסם מידע על פגיעויות המשפיעות על פרויקטים של GitHub ומידע למעקב אחר חבילות ומאגרים מושפעים. מזהי CVE המוזכרים בתגובות ב-GitHub מקשרים כעת אוטומטית למידע מפורט על פגיעויות במסד הנתונים שסופק. כלי נפרד הוצג לאוטומציה של העבודה עם מסד הנתונים. .
דווח גם על עדכון כדי להגן מפני למאגרים הזמינים לציבור
נתונים רגישים, כגון אסימוני אימות ומפתחות גישה. במהלך ביצוע commit, הסורק בודק פורמטים אופייניים של מפתחות ואסימונים בהם נעשה שימוש. , כולל ממשקי ה-API של Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack ו-Stripe. אם מזוהה אסימון, נשלחת בקשה לספק השירות לאשר את הדליפה ולבטל את האסימונים שנפגעו. נכון לאתמול, בנוסף לפורמטים הנתמכים בעבר, נוספה תמיכה בזיהוי אסימונים מ-GoCardless, HashiCorp, Postman ו-Tencent.
מקור: OpenNet.ru
