GitHub bi destpêşxeriya , bi mebesta birêxistinkirina hevkariya pisporên ewlehiyê ji pargîdan û rêxistinên cihêreng ji bo destnîşankirina qelsiyan û alîkariya ji holê rakirina wan di koda projeyên çavkaniya vekirî de.
Hemû pargîdaniyên eleqedar û pisporên ewlehiya komputerê yên kesane têne vexwendin ku beşdarî înîsiyatîfê bibin. Ji bo naskirina qelsiyê dayîna xelatek heya 3000 $, li gorî giraniya pirsgirêkê û kalîteya raporê ve girêdayî ye. Em pêşniyar dikin ku amûrê bikar bînin da ku agahdariya pirsgirêkê bişînin. , ku destûrê dide te ku hûn şablonek kodek xedar biafirînin da ku hebûna qelsiyek wusa di koda projeyên din de nas bikin (CodeQL dihêle hûn analîza semantîkî ya kodê bikin û pirsan çêbikin da ku li hin avahiyan bigerin).
Lêkolînerên ewlehiyê ji F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber û
VMWare, ku di du salên borî de и Di projeyên wekî Chromium, libssh105, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts,pachersgni,strong, 2 qelsî hene. , Apache Geode û Hadoop.
Pêşniyara jiyanê ya koda kodê ya GitHub di nav endamên Laboratoriya Ewlekariyê ya GitHub de qelsiyan nas dikin, ku dûv re dê ji parêzger û pêşdebiran re were ragihandin, yên ku dê rastkirin pêşbixin, hevrêz bikin kengê pirsgirêkê eşkere bikin, û projeyên girêdayî agahdar bikin da ku guhertoyê saz bikin. bi rakirina lawaziyê. Database dê şablonên CodeQL-ê dihewîne da ku pêşî li derketina pirsgirêkên çareserkirî di koda ku li ser GitHub heye de bigire.
Bi navgîniya GitHub hûn naha dikarin Nasnameya CVE ji bo pirsgirêka naskirî û raporek amade bike, û GitHub bixwe dê agahdariya pêwîst bişîne û sererastkirina hevrêziya wan organîze bike. Digel vê yekê, gava ku pirsgirêk çareser bibe, GitHub dê bixweber daxwazên vekişînê bişîne da ku pêwendiyên bi projeya bandorkirî re nûve bike.
GitHub di heman demê de navnîşek qelsiyan jî zêde kiriye , ku agahdariya li ser qelsiyên ku bandorê li projeyên li ser GitHub dikin û agahdariya ji bo şopandina pakêt û depoyên bandorkirî diweşîne. Nasnameyên CVE yên ku di şîroveyên li ser GitHub-ê de hatine destnîşan kirin naha bixweber bi agahdariya hûrgulî di derbarê qelsiya di databasa radestkirî de girêdidin. Ji bo otomatîkkirina xebata bi databasê, veqetandî .
Nûvekirin jî tê ragihandin ji bo parastinê ji bo depoyên ku bi gelemperî têne gihîştin
Daneyên hesas ên wekî nîşanekên erêkirinê û bişkojkên gihîştinê. Di dema peywirdariyekê de, skaner formatên tîpîk û tokenê yên ku têne bikar anîn kontrol dike , di nav de Alibaba Cloud API, Karûbarên Web Amazon (AWS), Azure, Google Cloud, Slack û Stripe. Ger tokenek were nas kirin, daxwazek ji peydakiroxê karûbarê re tê şandin da ku levkirinê piştrast bike û tokenên lihevhatî betal bike. Ji duh ve, ji bilî formatên berê yên piştgirîkirî, piştgirî ji bo pênasekirina tokenên GoCardless, HashiCorp, Postman û Tencent zêde bûye.
Source: opennet.ru