GitHub ಉಪಕ್ರಮದೊಂದಿಗೆ , ದುರ್ಬಲತೆಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಮುಕ್ತ ಮೂಲ ಯೋಜನೆಗಳ ಕೋಡ್ನಲ್ಲಿ ಅವುಗಳನ್ನು ತೆಗೆದುಹಾಕುವಲ್ಲಿ ಸಹಾಯ ಮಾಡಲು ವಿವಿಧ ಕಂಪನಿಗಳು ಮತ್ತು ಸಂಸ್ಥೆಗಳ ಭದ್ರತಾ ತಜ್ಞರ ಸಹಯೋಗವನ್ನು ಸಂಘಟಿಸುವ ಗುರಿಯನ್ನು ಹೊಂದಿದೆ.
ಎಲ್ಲಾ ಆಸಕ್ತ ಕಂಪನಿಗಳು ಮತ್ತು ವೈಯಕ್ತಿಕ ಕಂಪ್ಯೂಟರ್ ಭದ್ರತಾ ತಜ್ಞರನ್ನು ಉಪಕ್ರಮಕ್ಕೆ ಸೇರಲು ಆಹ್ವಾನಿಸಲಾಗಿದೆ. ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಲು ಸಮಸ್ಯೆಯ ತೀವ್ರತೆ ಮತ್ತು ವರದಿಯ ಗುಣಮಟ್ಟವನ್ನು ಅವಲಂಬಿಸಿ $3000 ವರೆಗೆ ಬಹುಮಾನದ ಪಾವತಿ. ಸಮಸ್ಯೆಯ ಮಾಹಿತಿಯನ್ನು ಸಲ್ಲಿಸಲು ಟೂಲ್ಕಿಟ್ ಅನ್ನು ಬಳಸಲು ನಾವು ಸಲಹೆ ನೀಡುತ್ತೇವೆ. , ಇದು ಇತರ ಯೋಜನೆಗಳ ಕೋಡ್ನಲ್ಲಿ ಇದೇ ರೀತಿಯ ದುರ್ಬಲತೆಯ ಉಪಸ್ಥಿತಿಯನ್ನು ಗುರುತಿಸಲು ದುರ್ಬಲ ಕೋಡ್ನ ಟೆಂಪ್ಲೇಟ್ ಅನ್ನು ರಚಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ (ಕೋಡ್ಕ್ಯುಎಲ್ ಕೋಡ್ನ ಲಾಕ್ಷಣಿಕ ವಿಶ್ಲೇಷಣೆಯನ್ನು ನಡೆಸಲು ಮತ್ತು ಕೆಲವು ರಚನೆಗಳನ್ನು ಹುಡುಕಲು ಪ್ರಶ್ನೆಗಳನ್ನು ರಚಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ).
F5, Google, HackerOne, Intel, IOActive, J.P. ನ ಭದ್ರತಾ ಸಂಶೋಧಕರು ಈಗಾಗಲೇ ಉಪಕ್ರಮಕ್ಕೆ ಸೇರಿಕೊಂಡಿದ್ದಾರೆ. ಮಾರ್ಗನ್, ಲಿಂಕ್ಡ್ಇನ್, ಮೈಕ್ರೋಸಾಫ್ಟ್, ಮೊಜಿಲ್ಲಾ, ಎನ್ಸಿಸಿ ಗ್ರೂಪ್, ಒರಾಕಲ್, ಟ್ರಯಲ್ ಆಫ್ ಬಿಟ್ಸ್, ಉಬರ್ ಮತ್ತು
VMWare, ಇದು ಕಳೆದ ಎರಡು ವರ್ಷಗಳಲ್ಲಿ и ಕ್ರೋಮಿಯಂ, libssh105, Linux ಕರ್ನಲ್, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apachewan Struggs, Apachewan ನಂತಹ ಯೋಜನೆಗಳಲ್ಲಿ 2 ದುರ್ಬಲತೆಗಳು , ಅಪಾಚೆ ಜಿಯೋಡ್ ಮತ್ತು ಹಡೂಪ್.
GitHub ನ ಉದ್ದೇಶಿತ ಕೋಡ್ ಸೆಕ್ಯುರಿಟಿ ಜೀವನಚಕ್ರವು GitHub ಸೆಕ್ಯುರಿಟಿ ಲ್ಯಾಬ್ ಸದಸ್ಯರು ದುರ್ಬಲತೆಗಳನ್ನು ಗುರುತಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ನಂತರ ನಿರ್ವಾಹಕರು ಮತ್ತು ಡೆವಲಪರ್ಗಳಿಗೆ ತಿಳಿಸಲಾಗುತ್ತದೆ, ಅವರು ಪರಿಹಾರಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುತ್ತಾರೆ, ಸಮಸ್ಯೆಯನ್ನು ಯಾವಾಗ ಬಹಿರಂಗಪಡಿಸಬೇಕು ಮತ್ತು ಆವೃತ್ತಿಯನ್ನು ಸ್ಥಾಪಿಸಲು ಅವಲಂಬಿತ ಯೋಜನೆಗಳಿಗೆ ತಿಳಿಸುತ್ತಾರೆ. GitHub ನಲ್ಲಿ ಇರುವ ಕೋಡ್ನಲ್ಲಿ ಪರಿಹರಿಸಲಾದ ಸಮಸ್ಯೆಗಳು ಮತ್ತೆ ಕಾಣಿಸಿಕೊಳ್ಳುವುದನ್ನು ತಡೆಯಲು ಡೇಟಾಬೇಸ್ CodeQL ಟೆಂಪ್ಲೇಟ್ಗಳನ್ನು ಹೊಂದಿರುತ್ತದೆ.
GitHub ಇಂಟರ್ಫೇಸ್ ಮೂಲಕ ನೀವು ಈಗ ಮಾಡಬಹುದು ಗುರುತಿಸಲಾದ ಸಮಸ್ಯೆಗೆ CVE ಗುರುತಿಸುವಿಕೆ ಮತ್ತು ವರದಿಯನ್ನು ತಯಾರಿಸಿ, ಮತ್ತು GitHub ಸ್ವತಃ ಅಗತ್ಯ ಅಧಿಸೂಚನೆಗಳನ್ನು ಕಳುಹಿಸುತ್ತದೆ ಮತ್ತು ಅವುಗಳ ಸಂಘಟಿತ ತಿದ್ದುಪಡಿಯನ್ನು ಆಯೋಜಿಸುತ್ತದೆ. ಇದಲ್ಲದೆ, ಒಮ್ಮೆ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಿದ ನಂತರ, GitHub ಪೀಡಿತ ಯೋಜನೆಗೆ ಸಂಬಂಧಿಸಿದ ಅವಲಂಬನೆಗಳನ್ನು ನವೀಕರಿಸಲು ಪುಲ್ ವಿನಂತಿಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸಲ್ಲಿಸುತ್ತದೆ.
GitHub ಸಹ ದುರ್ಬಲತೆಗಳ ಪಟ್ಟಿಯನ್ನು ಸೇರಿಸಿದೆ , ಇದು GitHub ನಲ್ಲಿ ಪ್ರಾಜೆಕ್ಟ್ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ದುರ್ಬಲತೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಮತ್ತು ಪೀಡಿತ ಪ್ಯಾಕೇಜ್ಗಳು ಮತ್ತು ರೆಪೊಸಿಟರಿಗಳನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡುವ ಮಾಹಿತಿಯನ್ನು ಪ್ರಕಟಿಸುತ್ತದೆ. GitHub ನಲ್ಲಿನ ಕಾಮೆಂಟ್ಗಳಲ್ಲಿ ಉಲ್ಲೇಖಿಸಲಾದ CVE ಗುರುತಿಸುವಿಕೆಗಳು ಈಗ ಸಲ್ಲಿಸಿದ ಡೇಟಾಬೇಸ್ನಲ್ಲಿನ ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ವಿವರವಾದ ಮಾಹಿತಿಗೆ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಲಿಂಕ್ ಮಾಡುತ್ತವೆ. ಡೇಟಾಬೇಸ್ನೊಂದಿಗೆ ಕೆಲಸವನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು, ಪ್ರತ್ಯೇಕ .
ನವೀಕರಣ ಕೂಡ ವರದಿಯಾಗಿದೆ ವಿರುದ್ಧ ರಕ್ಷಿಸಲು ಸಾರ್ವಜನಿಕವಾಗಿ ಪ್ರವೇಶಿಸಬಹುದಾದ ರೆಪೊಸಿಟರಿಗಳಿಗೆ
ದೃಢೀಕರಣ ಟೋಕನ್ಗಳು ಮತ್ತು ಪ್ರವೇಶ ಕೀಗಳಂತಹ ಸೂಕ್ಷ್ಮ ಡೇಟಾ. ಬದ್ಧತೆಯ ಸಮಯದಲ್ಲಿ, ಸ್ಕ್ಯಾನರ್ ಬಳಸಿದ ವಿಶಿಷ್ಟ ಕೀ ಮತ್ತು ಟೋಕನ್ ಸ್ವರೂಪಗಳನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ , Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack and Stripe ಸೇರಿದಂತೆ. ಟೋಕನ್ ಅನ್ನು ಗುರುತಿಸಿದರೆ, ಸೋರಿಕೆಯನ್ನು ಖಚಿತಪಡಿಸಲು ಮತ್ತು ರಾಜಿ ಮಾಡಿಕೊಂಡ ಟೋಕನ್ಗಳನ್ನು ಹಿಂತೆಗೆದುಕೊಳ್ಳಲು ಸೇವಾ ಪೂರೈಕೆದಾರರಿಗೆ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಲಾಗುತ್ತದೆ. ನಿನ್ನೆಯಿಂದ, ಹಿಂದೆ ಬೆಂಬಲಿತ ಸ್ವರೂಪಗಳಿಗೆ ಹೆಚ್ಚುವರಿಯಾಗಿ, GoCardless, HashiCorp, Postman ಮತ್ತು Tencent ಟೋಕನ್ಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಲು ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
ಮೂಲ: opennet.ru