GitHub демилге менен , ачык булак долбоорлорунун кодундагы аялуу жерлерди аныктоо жана аларды жоюуга жардам берүү үчүн ар кандай компаниялардын жана уюмдардын коопсуздук эксперттеринин кызматташуусун уюштурууга багытталган.
Бардык кызыкдар компаниялар жана жеке компьютердик коопсуздук адистери бул демилгеге кошулууга чакырылат. Кемчиликти аныктоо үчүн көйгөйдүн оордугуна жана отчеттун сапатына жараша 3000 долларга чейин сыйлык төлөө. Көйгөй маалыматын тапшыруу үчүн куралдар топтомун колдонууну сунуштайбыз. , бул башка долбоорлордун кодунда окшош кемчиликтин бар экендигин аныктоо үчүн аялуу коддун шаблонун түзүүгө мүмкүндүк берет (CodeQL коддун семантикалык анализин жүргүзүүгө жана белгилүү структураларды издөө үчүн суроо-талаптарды түзүүгө мүмкүндүк берет).
Бул демилгеге F5, Google, HackerOne, Intel, IOActive, J.P. коопсуздук изилдөөчүлөрү кошулган. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber жана
Акыркы эки жылдын ичинде VMWare и Chromium, libssh105, Linux ядросу, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, Icecast, Apache Struts, Icecast, Apache, , Apache Geode жана Hadoop.
GitHub сунуш кылган коддун коопсуздук цикли GitHub коопсуздук лабораториясынын мүчөлөрүн кемчиликтерди аныктоону камтыйт, алар андан кийин оңдоочуларга жана иштеп чыгуучуларга билдирилет, алар оңдоолорду иштеп чыгышат, маселени качан ачууну координациялашат жана версияны орнотуу үчүн көз каранды долбоорлорго маалымат беришет. Берилиштер базасы GitHubдагы коддо чечилген көйгөйлөрдүн кайра пайда болушуна жол бербөө үчүн CodeQL үлгүлөрүн камтыйт.
GitHub интерфейси аркылуу сиз азыр кыла аласыз Аныкталган көйгөй үчүн CVE идентификатору жана отчет даярдайт, жана GitHub өзү керектүү эскертмелерди жөнөтөт жана аларды макулдашылган оңдоону уюштурат. Андан тышкары, маселе чечилгенден кийин, GitHub жабыр тарткан долбоор менен байланышкан көз карандылыктарды жаңыртуу үчүн тартуу сурамдарын автоматтык түрдө тапшырат.
GitHub ошондой эле кемчиликтердин тизмесин кошту , ал GitHub'тагы долбоорлорго таасир эткен алсыздыктар жөнүндө маалыматты жана жабыркаган пакеттерге жана репозиторийлерге көз салуу үчүн маалыматты жарыялайт. GitHubдагы комментарийлерде айтылган CVE идентификаторлору эми автоматтык түрдө тапшырылган маалымат базасындагы алсыздык жөнүндө толук маалыматка шилтеме берет. Маалыматтар базасы менен иштөөнү автоматташтыруу үчүн өзүнчө .
Жаңыртуу да билдирилди каршы коргоо жалпыга жеткиликтүү репозиторийлерге
аутентификация токендери жана кирүү ачкычтары сыяктуу купуя маалыматтар. Милдеттенме учурунда сканер колдонулган типтүү ачкыч жана токен форматтарын текшерет , анын ичинде Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack жана Stripe. Токен аныкталса, агызууну ырастоо жана бузулган токендерди жокко чыгаруу үчүн кызмат көрсөтүүчүгө суроо-талап жөнөтүлөт. Кечээги абал боюнча, мурда колдоого алынган форматтардан тышкары, GoCardless, HashiCorp, Postman жана Tencent энбелгилерин аныктоо үчүн колдоо кошулду.
Source: opennet.ru