ProHoster > ΠΠ»ΠΎΠ³ > warta internet > GitHub ngluncurake proyek gabungan kanggo ngenali kerentanan ing piranti lunak sumber terbuka
GitHub ngluncurake proyek gabungan kanggo ngenali kerentanan ing piranti lunak sumber terbuka
GitHub ngandika kanthi inisiatif Lab Keamanan GitHub, ngarahake kanggo ngatur kolaborasi pakar keamanan saka macem-macem perusahaan lan organisasi kanggo ngenali kerentanan lan mbantu ngilangi ing kode proyek open source.
Siklus urip keamanan kode sing diusulake GitHub kalebu anggota Lab Keamanan GitHub sing ngenali kerentanan, sing banjur bakal dikomunikasikake menyang pangurus lan pangembang, sing bakal ndandani, koordinasi nalika mbukak masalah kasebut, lan ngandhani proyek sing gumantung kanggo nginstal versi kasebut. Basis data bakal ngemot template CodeQL kanggo nyegah munculna maneh masalah sing wis dirampungake ing kode sing ana ing GitHub.
Liwat antarmuka GitHub sampeyan saiki bisa entuk Pengenal CVE kanggo masalah sing diidentifikasi lan nyiapake laporan, lan GitHub dhewe bakal ngirim kabar sing dibutuhake lan ngatur koreksi sing terkoordinasi. Kajaba iku, yen masalah wis dirampungake, GitHub bakal kanthi otomatis ngirim panjaluk tarik kanggo nganyari dependensi sing ana gandhengane karo proyek sing kena pengaruh.
GitHub uga nambahake dhaptar kerentanan Database Advisory GitHub, sing nerbitake informasi babagan kerentanan sing mengaruhi proyek ing GitHub lan informasi kanggo nglacak paket lan repositori sing kena pengaruh. Pengenal CVE sing kasebut ing komentar ing GitHub saiki kanthi otomatis nyambung menyang informasi rinci babagan kerentanan ing database sing dikirim. Kanggo ngotomatisasi karya karo database, kapisah API.
Pembaruan uga dilaporake layanan kanggo ngreksa marang hits menyang repositori sing bisa diakses umum
data sensitif kayata token otentikasi lan tombol akses. Sajrone komitmen, pemindai mriksa format tombol lan token sing digunakake 20 panyedhiya lan layanan maya, kalebu Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack lan Stripe. Yen token diidentifikasi, panjalukan dikirim menyang panyedhiya layanan kanggo konfirmasi bocor lan mbatalake token sing dikompromi. Ing wingi, saliyane format sing didhukung sadurunge, dhukungan kanggo nemtokake token GoCardless, HashiCorp, Postman lan Tencent wis ditambahake.