GitHub miaraka amin'ny fandraisana andraikitra , mikendry ny fandaminana ny fiaraha-miasan'ireo manampahaizana momba ny fiarovana avy amin'ny orinasa sy fikambanana isan-karazany mba hamantarana ireo vulnerable sy hanampy amin'ny fanafoanana azy ireo ao amin'ny fehezan-dalΓ na momba ny tetikasa open source.
Ny orinasa liana rehetra sy ny manam-pahaizana manokana momba ny fiarovana ny solosaina dia asaina hanatevin-daharana ny hetsika. Mba hamantarana ny vulnerability fandoavana valisoa hatramin'ny $3000, arakaraka ny hamafin'ny olana sy ny kalitaon'ny tatitra. Manoro hevitra izahay hampiasa ny kitapom-pitaovana handefasana fampahalalana momba ny olana. , izay ahafahanao mamorona mΓ΄dely amin'ny code vulnerable mba hamantarana ny fisian'ny vulnerable mitovy amin'ny fehezan-dalΓ na amin'ny tetikasa hafa (CodeQL dia ahafahana manao fanadihadiana semantika momba ny kaody ary miteraka fanontaniana hikaroka rafitra sasany).
Mpikaroka momba ny fiarovana avy amin'ny F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber ary
VMWare, izay tao anatin'ny roa taona lasa ΠΈ 105 vulnerabilities amin'ny tetikasa toy ny Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsy , Apache Geode ary Hadoop.
Ny tsingerin'ny fiarovana ny kaody natolotry ny GitHub dia ahitana ny mpikambana ao amin'ny GitHub Security Lab hamantatra ireo vulnerabilities, izay hampitaina amin'ny mpikarakara sy ny mpamorona, izay hamolavola fanamboarana, handrindra ny fotoana hamoahana ilay olana, ary hampahafantatra ireo tetikasa miankina amin'ny fametrahana ilay kinova. Ny angon-drakitra dia ahitana maodely CodeQL mba hisorohana ny fiverenan'ireo olana voavaha ao amin'ny kaody misy ao amin'ny GitHub.
Amin'ny alΓ lan'ny interface GitHub dia azonao atao izao Mpanondro CVE ho an'ny olana fantatra ary manomana tatitra, ary ny GitHub mihitsy no handefa ny fampandrenesana ilaina ary handamina ny fanitsiana azy ireo. Ankoatr'izay, rehefa voavaha ny olana, dia handefa ho azy ny GitHub ny fangatahana fisintonana hanavao ny fiankinan-doha mifandraika amin'ny tetikasa voakasika.
GitHub dia nanampy lisitr'ireo vulnerability ihany koa , izay mamoaka vaovao momba ny vulnerabilities misy fiantraikany amin'ny tetikasa ao amin'ny GitHub sy ny vaovao hanaraha-maso ny fonosana sy ny tahiry voakasika. Ireo famantarana CVE voalaza ao amin'ny fanehoan-kevitra ao amin'ny GitHub dia mampifandray ho azy amin'ny fampahalalana amin'ny antsipiriany momba ny vulnerability ao amin'ny angon-drakitra natolotra. Mba automatique ny asa miaraka amin'ny angon-drakitra, misaraka .
Notaterina ihany koa ny fanavaozana miaro amin'ny mankany amin'ny tahiry azo idirana ho an'ny daholobe
angona saro-pady toy ny mari-pamantarana fanamarinana sy fanalahidy fidirana. Mandritra ny fanoloran-tena, ny scanner dia manamarina ny fanalahidy mahazatra sy ny endrika famantarana ampiasaina , anisan'izany ny Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack ary Stripe. Raha fantatra ny mari-pamantarana iray, dia alefa any amin'ny mpanome tolotra ny fangatahana hanamarina ny fivoahana sy hanafoana ireo mari-pandrefesana. Hatramin'ny omaly, ankoatra ireo endrika tohana teo aloha, dia nampiana ny fanohanana ny famaritana ny marika GoCardless, HashiCorp, Postman ary Tencent.
Source: opennet.ru