GitHub는 오픈 소스 소프트웨어의 취약점을 식별하기 위한 공동 프로젝트를 시작했습니다.

GitHub의 ~을 만들었다. 주도적으로 GitHub 보안 연구소, 오픈 소스 프로젝트 코드에서 취약점을 식별하고 이를 제거하는 데 도움을 주기 위해 다양한 회사 및 조직의 보안 전문가의 협력을 조직하는 것을 목표로 합니다.

관심 있는 모든 기업과 개별 컴퓨터 보안 전문가가 이 계획에 참여하도록 초대됩니다. 취약점 식별을 위해 을 위해 제공되었다 문제의 심각성과 신고의 질에 따라 최대 $3000의 보상금이 지급됩니다. 문제 정보를 제출하려면 툴킷을 사용하는 것이 좋습니다. CodeQL, 이를 통해 취약한 코드 템플릿을 생성하여 다른 프로젝트의 코드에 유사한 취약성의 존재를 식별할 수 있습니다(CodeQL을 사용하면 코드의 의미론적 분석을 수행하고 특정 구조를 검색하는 쿼리를 생성할 수 있습니다).

F5, Google, HackerOne, Intel, IOActive, J.P.의 보안 연구원들이 이미 이 계획에 참여했습니다. Morgan, LinkedIn, Microsoft, Mozilla, NCC 그룹, Oracle, Trail of Bits, Uber 및
VMWare는 지난 2년 동안 노출된 и 내가 고치는 걸 도와줬어 Chromium, libssh105, Linux 커널, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, StrongSwan, Apache Ignite, rsyslog와 같은 프로젝트의 취약점 2개 , Apache Geode 및 Hadoop.

GitHub가 제안한 코드 보안 수명주기에는 GitHub Security Lab 구성원이 취약점을 식별한 후 수정 사항을 개발하고 문제 공개 시기를 조정하며 종속 프로젝트에 버전을 설치하도록 알리고 취약점을 제거하는 유지 관리 담당자와 개발자에게 전달됩니다. 데이터베이스에는 GitHub에 있는 코드에서 해결된 문제가 다시 나타나는 것을 방지하기 위한 CodeQL 템플릿이 포함됩니다.

이제 GitHub 인터페이스를 통해 다음을 수행할 수 있습니다. 수 식별된 문제에 대한 CVE 식별자를 제공하고 보고서를 준비하면 GitHub 자체에서 필요한 알림을 보내고 조정된 수정 사항을 구성합니다. 또한 문제가 해결되면 GitHub는 영향을 받는 프로젝트와 관련된 종속성을 업데이트하기 위해 풀 요청을 자동으로 제출합니다.

GitHub는 취약점 목록도 추가했습니다. GitHub 자문 데이터베이스는 GitHub의 프로젝트에 영향을 미치는 취약점에 대한 정보와 영향을 받는 패키지 및 리포지토리를 추적하는 정보를 게시합니다. GitHub의 댓글에 언급된 CVE 식별자는 이제 제출된 데이터베이스의 취약점에 대한 자세한 정보에 자동으로 연결됩니다. 데이터베이스 작업을 자동화하려면 별도의 API.

업데이트도 보고됩니다 서비스 으로부터 보호하기 위해 히트 공개적으로 접근 가능한 저장소에
인증 토큰 및 액세스 키와 같은 민감한 데이터. 커밋 중에 스캐너는 사용되는 일반적인 키 및 토큰 형식을 확인합니다. 20개 클라우드 제공업체 및 서비스Alibaba Cloud API, Amazon Web Services(AWS), Azure, Google Cloud, Slack 및 Stripe을 포함합니다. 토큰이 식별되면 누출을 확인하고 손상된 토큰을 취소하라는 요청이 서비스 제공자에게 전송됩니다. 어제부터 이전에 지원되는 형식 외에도 GoCardless, HashiCorp, Postman 및 Tencent 토큰 정의에 대한 지원이 추가되었습니다.

출처 : opennet.ru