GitHub su iniciatyva , skirta organizuoti įvairių įmonių ir organizacijų saugumo ekspertų bendradarbiavimą, siekiant nustatyti pažeidžiamumus ir padėti jas pašalinti atvirojo kodo projektų kode.
Prie iniciatyvos kviečiamos prisijungti visos suinteresuotos įmonės ir pavieniai kompiuterių saugos specialistai. Pažeidžiamumui nustatyti išmokėti atlygį iki 3000 USD, priklausomai nuo problemos sunkumo ir ataskaitos kokybės. Norėdami pateikti informaciją apie problemą, rekomenduojame naudoti įrankių rinkinį. , kuri leidžia sugeneruoti pažeidžiamo kodo šabloną, kad būtų galima nustatyti panašaus pažeidžiamumo buvimą kitų projektų kode (CodeQL leidžia atlikti semantinę kodo analizę ir generuoti užklausas tam tikroms struktūroms ieškoti).
Prie iniciatyvos jau prisijungė saugumo tyrėjai iš F5, Google, HackerOne, Intel, IOActive, J.P. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber ir
VMWare, kuri per pastaruosius dvejus metus и 105 pažeidžiamumas tokiuose projektuose kaip Chromium, libssh2, Linux branduolys, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, Apache Struts, strongysswante, , Apache Geode ir Hadoop.
Siūlomas „GitHub“ kodo saugos gyvavimo ciklas apima „GitHub Security Lab“ narių pažeidžiamumų nustatymą, apie kuriuos vėliau bus pranešta prižiūrėtojams ir kūrėjams, kurie parengs pataisymus, koordinuos, kada atskleisti problemą, ir informuos susijusius projektus, kad būtų įdiegta versija. Taip pat pašalins pažeidžiamumą. Duomenų bazėje bus „CodeQL“ šablonai, kad „GitHub“ esančiame kode nepasikartotų išspręstos problemos.
Naudodami „GitHub“ sąsają dabar galite CVE identifikatorius nustatytai problemai ir parengs ataskaitą, o GitHub pats išsiųs reikiamus pranešimus ir organizuos koordinuotą jų taisymą. Be to, kai problema bus išspręsta, „GitHub“ automatiškai pateiks užklausas atnaujinti priklausomybes, susijusias su paveiktu projektu.
„GitHub“ taip pat pridėjo pažeidžiamumų sąrašą , kurioje skelbiama informacija apie pažeidžiamumus, turinčius įtakos projektams GitHub, ir informacija, skirta sekti paveiktus paketus ir saugyklas. „GitHub“ komentaruose minimi CVE identifikatoriai dabar automatiškai susieja su išsamia informacija apie pateiktoje duomenų bazėje esantį pažeidžiamumą. Norėdami automatizuoti darbą su duomenų baze, atskiras .
Taip pat pranešama apie atnaujinimą apsisaugoti nuo į viešai prieinamas saugyklas
neskelbtinus duomenis, tokius kaip autentifikavimo prieigos raktai ir prieigos raktai. Įsipareigojimo metu skaitytuvas patikrina tipinius naudojamus raktų ir žetonų formatus , įskaitant „Alibaba Cloud API“, „Amazon Web Services“ (AWS), „Azure“, „Google Cloud“, „Slack“ ir „Stripe“. Nustačius prieigos raktą, paslaugų teikėjui siunčiamas prašymas patvirtinti nutekėjimą ir atšaukti pažeistus žetonus. Nuo vakar, be anksčiau palaikomų formatų, buvo pridėtas GoCardless, HashiCorp, Postman ir Tencent žetonų apibrėžimo palaikymas.
Šaltinis: opennet.ru