GitHub ar iniciatīvu , kuras mērķis ir organizēt dažādu uzņēmumu un organizāciju drošības ekspertu sadarbību, lai atklātā pirmkoda projektu kodā identificētu ievainojamības un palīdzētu tās novērst.
Iniciatīvai aicināti pievienoties visi ieinteresētie uzņēmumi un individuālie datordrošības speciālisti. Lai identificētu ievainojamību atlīdzība līdz 3000 USD atkarībā no problēmas nopietnības un ziņojuma kvalitātes. Mēs iesakām izmantot rīku komplektu, lai iesniegtu informāciju par problēmu. , kas ļauj ģenerēt ievainojamā koda veidni, lai identificētu līdzīgas ievainojamības esamību citu projektu kodā (CodeQL ļauj veikt koda semantisko analīzi un ģenerēt vaicājumus noteiktu struktūru meklēšanai).
Drošības pētnieki no F5, Google, HackerOne, Intel, IOActive, J.P. jau ir pievienojušies iniciatīvai. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber un
VMWare, kas pēdējo divu gadu laikā и 105 ievainojamības projektos, piemēram, Chromium, libssh2, Linux kodols, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, Apache Struts, strong Ignite,,, , Apache Geode un Hadoop.
GitHub piedāvātais koda drošības dzīves cikls ietver GitHub Security Lab dalībnieku ievainojamību identificēšanu, kas pēc tam tiks paziņota uzturētājiem un izstrādātājiem, kuri izstrādās labojumus, koordinēs, kad atklāt problēmu, un informēs atkarīgos projektus, lai instalētu versiju. ar ievainojamības novēršanu. Datu bāzē būs CodeQL veidnes, lai novērstu GitHub esošā koda atrisināto problēmu atkārtošanos.
Izmantojot GitHub saskarni, tagad varat CVE identifikators identificētajai problēmai un sagatavo ziņojumu, un GitHub pats izsūtīs nepieciešamos paziņojumus un organizēs to saskaņotu labošanu. Turklāt, tiklīdz problēma ir atrisināta, GitHub automātiski iesniegs izvilkšanas pieprasījumus, lai atjauninātu ar ietekmēto projektu saistītās atkarības.
GitHub ir pievienojis arī ievainojamību sarakstu , kurā tiek publicēta informācija par ievainojamībām, kas ietekmē projektus vietnē GitHub, un informācija, lai izsekotu ietekmētajām pakotnēm un krātuvēm. CVE identifikatori, kas minēti GitHub komentāros, tagad automātiski saistās ar detalizētu informāciju par ievainojamību iesniegtajā datu bāzē. Lai automatizētu darbu ar datu bāzi, atsevišķu .
Tiek ziņots arī par atjauninājumu lai aizsargātos pret uz publiski pieejamām krātuvēm
sensitīvus datus, piemēram, autentifikācijas pilnvaras un piekļuves atslēgas. Apņemšanās laikā skeneris pārbauda tipiskos izmantotos atslēgu un marķiera formātus , tostarp Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack un Stripe. Ja tiek identificēts marķieris, pakalpojuma sniedzējam tiek nosūtīts pieprasījums apstiprināt noplūdi un atsaukt apdraudētos marķierus. No vakardienas papildus iepriekš atbalstītajiem formātiem ir pievienots atbalsts GoCardless, HashiCorp, Postman un Tencent marķieru definēšanai.
Avots: opennet.ru