GitHub mat der Initiativ , zielt fir d'Zesummenaarbecht vu Sécherheetsexperten aus verschiddene Firmen an Organisatiounen z'organiséieren fir Schwachstelle z'identifizéieren an ze hëllefen bei der Eliminatioun vun hinnen am Code vun Open Source Projeten.
All interesséiert Firmen an eenzel Computer Sécherheet Spezialisten sinn invitéiert der Initiativ matzeman. Fir d'Schwachstelle z'identifizéieren Bezuelung vun enger Belounung vu bis zu $ 3000, jee no der Gravitéit vum Problem an der Qualitéit vum Bericht. Mir proposéieren de Toolkit ze benotzen fir Probleeminformatioun ofzeginn. , wat Iech erlaabt eng Schabloun vu vulnérablen Code ze generéieren fir d'Präsenz vun enger ähnlecher Schwachstelle am Code vun anere Projeten z'identifizéieren (CodeQL mécht et méiglech déi semantesch Analyse vu Code ze maachen an Ufroen ze generéieren fir no bestëmmte Strukturen ze sichen).
Sécherheetsfuerscher vu F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber an
VMWare, déi an de leschten zwee Joer и 105 Schwachstelle bei Projete wéi Chromium, libssh2, Linux Kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, , Apache Geode an Hadoop.
Dem GitHub säi proposéierte Code Sécherheetsliewenszyklus involvéiert GitHub Security Lab Memberen déi Schwachstelle identifizéieren, déi dann un d'Entwéckler an d'Entwéckler kommunizéiert ginn, déi Fixes entwéckelen, koordinéieren wéini d'Thema opgedeckt gëtt, an ofhängeg Projeten informéieren fir d'Versioun z'installéieren. D'Datebank enthält CodeQL Templates fir d'Erscheinung vu geléiste Probleemer am Code op GitHub ze verhënneren.
Duerch d'GitHub Interface kënnt Dir elo CVE Identifizéierer fir den identifizéierten Problem a preparéiert e Bericht, a GitHub selwer wäert déi néideg Notifikatiounen schécken an hir koordinéiert Korrektur organiséieren. Ausserdeem, wann d'Thema geléist ass, gëtt GitHub automatesch Pull-Ufroe ofginn fir Ofhängegkeeten ze aktualiséieren, déi mam betraffene Projet verbonne sinn.
GitHub huet och eng Lëscht vu Schwachstelle bäigefüügt , déi Informatioun iwwer Schwachstelle publizéiert, déi Projeten op GitHub beaflossen an Informatioun fir betraff Paketen a Repositories ze verfolgen. CVE Identifizéierer, déi an de Kommentarer op GitHub ernimmt ginn, verlinken elo automatesch op detailléiert Informatioun iwwer d'Schwachheet an der proposéierter Datebank. Fir d'Aarbecht mat der Datebank automatiséieren, eng separat .
Update gëtt och gemellt géint ze schützen zu ëffentlech zougängleche Repositories
sensibel Donnéeën wéi Authentifikatioun Tokens an Zougang Schlësselen. Wärend engem Engagement kontrolléiert de Scanner déi typesch Schlëssel- an Tokenformater déi benotzt ginn , dorënner Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack a Stripe. Wann en Token identifizéiert gëtt, gëtt eng Ufro un de Serviceprovider geschéckt fir de Leck ze bestätegen an déi kompromittéiert Tokens zréckzezéien. Zënter gëschter, zousätzlech zu virdrun ënnerstëtzte Formater, ass Ënnerstëtzung fir GoCardless, HashiCorp, Postman an Tencent Tokens ze definéieren.
Source: opennet.ru