GitHub kanthi inisiatif , ngarahake kanggo ngatur kolaborasi pakar keamanan saka macem-macem perusahaan lan organisasi kanggo ngenali kerentanan lan mbantu ngilangi ing kode proyek open source.
Kabeh perusahaan sing kasengsem lan spesialis keamanan komputer individu diundang kanggo nggabungake inisiatif kasebut. Kanggo ngenali kerentanan pembayaran saka ganjaran nganti $ 3000, gumantung ing keruwetan masalah lan kualitas laporan. Disaranake nggunakake toolkit kanggo ngirim informasi masalah. , sing ngidini sampeyan ngasilake cithakan kode sing rawan kanggo ngenali ananΓ© kerentanan sing padha ing kode proyek liyane (CodeQL ndadekake bisa nindakake analisis semantik kode lan ngasilake pitakon kanggo nggoleki struktur tartamtu).
Peneliti keamanan saka F5, Google, HackerOne, Intel, IOActive, JP wis gabung karo inisiatif kasebut. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber lan
VMWare, sing sajrone rong taun kepungkur ΠΈ 105 kerentanan ing proyek kayata Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsys , Apache Geode lan Hadoop.
Siklus urip keamanan kode sing diusulake GitHub kalebu anggota Lab Keamanan GitHub sing ngenali kerentanan, sing banjur bakal dikomunikasikake menyang pangurus lan pangembang, sing bakal ndandani, koordinasi nalika mbukak masalah kasebut, lan ngandhani proyek sing gumantung kanggo nginstal versi kasebut. Basis data bakal ngemot template CodeQL kanggo nyegah munculna maneh masalah sing wis dirampungake ing kode sing ana ing GitHub.
Liwat antarmuka GitHub sampeyan saiki bisa Pengenal CVE kanggo masalah sing diidentifikasi lan nyiapake laporan, lan GitHub dhewe bakal ngirim kabar sing dibutuhake lan ngatur koreksi sing terkoordinasi. Kajaba iku, yen masalah wis dirampungake, GitHub bakal kanthi otomatis ngirim panjaluk tarik kanggo nganyari dependensi sing ana gandhengane karo proyek sing kena pengaruh.
GitHub uga nambahake dhaptar kerentanan , sing nerbitake informasi babagan kerentanan sing mengaruhi proyek ing GitHub lan informasi kanggo nglacak paket lan repositori sing kena pengaruh. Pengenal CVE sing kasebut ing komentar ing GitHub saiki kanthi otomatis nyambung menyang informasi rinci babagan kerentanan ing database sing dikirim. Kanggo ngotomatisasi karya karo database, kapisah .
Pembaruan uga dilaporake kanggo ngreksa marang menyang repositori sing bisa diakses umum
data sensitif kayata token otentikasi lan tombol akses. Sajrone komitmen, pemindai mriksa format tombol lan token sing digunakake , kalebu Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack lan Stripe. Yen token diidentifikasi, panjalukan dikirim menyang panyedhiya layanan kanggo konfirmasi bocor lan mbatalake token sing dikompromi. Ing wingi, saliyane format sing didhukung sadurunge, dhukungan kanggo nemtokake token GoCardless, HashiCorp, Postman lan Tencent wis ditambahake.
Source: opennet.ru