GitHubの イニシアチブを持って 、さまざまな企業や組織のセキュリティ専門家の協力を組織し、オープンソース プロジェクトのコード内の脆弱性を特定し、それらを排除するのを支援することを目的としています。
関心のあるすべての企業および個人のコンピュータ セキュリティ スペシャリストがこのイニシアチブに参加するよう招待されます。脆弱性の特定のため 問題の重大度とレポートの品質に応じて、最大 3000 ドルの報奨金が支払われます。ツールキットを使用して問題情報を送信することをお勧めします。 これにより、脆弱なコードのテンプレートを生成して、他のプロジェクトのコードに同様の脆弱性が存在することを特定できます (CodeQL を使用すると、コードのセマンティック分析を実行し、特定の構造を検索するクエリを生成できます)。
F5、Google、HackerOne、Intel、IOActive、JP のセキュリティ研究者がすでにこのイニシアチブに参加しています。モーガン、LinkedIn、マイクロソフト、モジラ、NCC グループ、オラクル、トレイル オブ ビッツ、ウーバー、
VMWare は、過去 2 年間で и Chromium、libssh105、Linux kernel、Memcached、UBoot、VLC、Apport、HHVM、Exiv2、FFmpeg、Fizz、libav、Ansible、npm、XNU、Ghostscript、Icecast、Apache Struts、strongSwan、Apache Ignite、rsyslog などのプロジェクトにおける 2 件の脆弱性、Apache Geode と Hadoop。
GitHub が提案するコード セキュリティ ライフサイクルには、GitHub Security Lab のメンバーが脆弱性を特定することが含まれており、それがメンテナと開発者に伝えられ、修正を開発し、問題をいつ公開するかを調整し、依存プロジェクトにバージョンをインストールするよう通知して脆弱性を排除します。データベースには、GitHub 上に存在するコード内で解決済みの問題が再発するのを防ぐための CodeQL テンプレートが含まれます。
GitHub インターフェースを通じてできること 特定された問題の CVE 識別子を使用してレポートを作成すると、GitHub 自体が必要な通知を送信し、調整された修正を組織します。さらに、問題が解決されると、GitHub は自動的にプル リクエストを送信して、影響を受けるプロジェクトに関連付けられた依存関係を更新します。
GitHub には脆弱性のリストも追加されています 、GitHub 上のプロジェクトに影響を与える脆弱性に関する情報と、影響を受けるパッケージとリポジトリを追跡するための情報を公開します。 GitHub 上のコメントで言及された CVE 識別子は、送信されたデータベースの脆弱性に関する詳細情報に自動的にリンクされるようになりました。データベースの操作を自動化するには、別の .
アップデートも報告されています から守るために 公的にアクセス可能なリポジトリへ
認証トークンやアクセスキーなどの機密データ。コミット中に、スキャナーは使用される一般的なキーとトークンの形式をチェックします。 、Alibaba Cloud API、アマゾン ウェブ サービス (AWS)、Azure、Google Cloud、Slack、Stripe など。トークンが特定された場合、サービスプロバイダーにリクエストが送信され、漏洩を確認し、侵害されたトークンを取り消します。昨日の時点で、以前にサポートされていた形式に加えて、GoCardless、HashiCorp、Postman、および Tencent トークンの定義のサポートが追加されました。
出所: オープンネット.ru