GitHub бастамасымен , ашық бастапқы жобалар кодындағы осалдықтарды анықтау және оларды жоюға көмектесу үшін әртүрлі компаниялар мен ұйымдардың қауіпсіздік сарапшыларының ынтымақтастығын ұйымдастыруға бағытталған.
Барлық мүдделі компаниялар мен жеке компьютерлік қауіпсіздік мамандары бастамаға қосылуға шақырылады. Осалдықты анықтау үшін мәселенің ауырлығы мен есептің сапасына байланысты 3000 долларға дейін сыйақы төлеу. Мәселе туралы ақпаратты жіберу үшін құралдар жинағын пайдалануды ұсынамыз. , ол басқа жобалардың кодында ұқсас осалдықтың бар-жоғын анықтау үшін осал кодтың үлгісін жасауға мүмкіндік береді (CodeQL кодтың семантикалық талдауын жүргізуге және белгілі бір құрылымдарды іздеу үшін сұрауларды құруға мүмкіндік береді).
F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber және қауіпсіздік зерттеушілері
Соңғы екі жылда VMWare и Chromium, libssh105, Linux ядросы, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, Icecast, Icecast, Apache Struts, strongSwanrsgte, сияқты жобалардағы 2 осалдықтар. , Apache Geode және Hadoop.
GitHub ұсынған код қауіпсіздігінің өмірлік циклі осалдықтарды анықтайтын GitHub Қауіпсіздік зертханасының мүшелерін қамтиды, олар кейін жөндеушілер мен әзірлеушілерге хабарланады, олар түзетулер әзірлейді, мәселені қашан ашу керектігін үйлестіреді және нұсқаны орнату үшін тәуелді жобаларды хабардар етеді. осалдықты жояды. Дерекқорда GitHub-та бар кодта шешілген мәселелердің қайта пайда болуын болдырмау үшін CodeQL үлгілері болады.
GitHub интерфейсі арқылы сіз қазір жасай аласыз Анықталған мәселе үшін CVE идентификаторы және есеп дайындаңыз, және GitHub өзі қажетті хабарландыруларды жібереді және оларды келісілген түзетуді ұйымдастырады. Сонымен қатар, мәселе шешілгеннен кейін, GitHub зардап шеккен жобамен байланысты тәуелділіктерді жаңарту үшін тарту сұрауларын автоматты түрде жібереді.
GitHub сонымен қатар осалдықтардың тізімін қосты , ол GitHub жүйесіндегі жобаларға әсер ететін осалдықтар туралы ақпаратты және зардап шеккен пакеттер мен репозиторийлерді бақылауға арналған ақпаратты жариялайды. GitHub-тағы түсініктемелерде айтылған CVE идентификаторлары енді жіберілген дерекқордағы осалдық туралы толық ақпаратқа автоматты түрде сілтеме жасайды. Мәліметтер қорымен жұмысты автоматтандыру үшін бөлек .
Жаңарту туралы да хабарланады қарсы қорғау жалпыға қолжетімді репозиторийлерге
аутентификация таңбалауыштары және кіру кілттері сияқты құпия деректер. Орындау кезінде сканер әдеттегі кілт пен пайдаланылатын таңбалауыш пішімдерін тексереді , соның ішінде Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack және Stripe. Токен анықталса, ағып кетуді растау және бұзылған таңбалауыштарды қайтарып алу үшін қызмет провайдеріне сұрау жіберіледі. Кешеден бастап, бұрын қолдау көрсетілетін пішімдерге қосымша, GoCardless, HashiCorp, Postman және Tencent таңбалауыштарын анықтауға қолдау қосылды.
Ақпарат көзі: opennet.ru