GitHub санаачлагатай , нээлттэй эхийн төслүүдийн код дахь эмзэг байдлыг илрүүлэх, тэдгээрийг арилгахад туслах зорилгоор янз бүрийн компани, байгууллагуудын аюулгүй байдлын мэргэжилтнүүдийн хамтын ажиллагааг зохион байгуулахад чиглэгддэг.
Сонирхсон бүх компаниуд болон компьютерийн аюулгүй байдлын мэргэжилтнүүдийг санаачлагад нэгдэхийг урьж байна. Эмзэг байдлыг тодорхойлох зорилгоор Асуудлын ноцтой байдал, тайлангийн чанараас хамааран 3000 доллар хүртэлх шагналын төлбөр. Асуудлын мэдээллийг оруулахын тулд хэрэглүүрийг ашиглахыг санал болгож байна. , энэ нь бусад төслүүдийн кодонд ижил төстэй сул тал байгаа эсэхийг тодорхойлохын тулд эмзэг кодын загвар үүсгэх боломжийг олгодог (CodeQL нь кодын семантик шинжилгээ хийх, тодорхой бүтцийг хайх асуулга үүсгэх боломжийг олгодог).
F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber зэрэг компаниудын аюулгүй байдлын судлаачид.
Сүүлийн хоёр жилийн хугацаанд VMWare и Chromium, libssh105, Linux цөм, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwanrsgni, Icecast, Apache Struts, Icecast зэрэг төслүүдийн 2 эмзэг байдал , Apache Geode болон Hadoop.
GitHub-ийн санал болгож буй кодын аюулгүй байдлын амьдралын мөчлөг нь GitHub-ийн аюулгүй байдлын лабораторийн гишүүдэд эмзэг байдлыг тодорхойлох, дараа нь засварлагчид болон хөгжүүлэгчдэд мэдэгдэх бөгөөд тэдгээр нь засваруудыг боловсруулж, асуудлыг хэзээ илчлэхийг зохицуулж, хувилбарыг суулгахын тулд хамааралтай төслүүдэд мэдээлнэ. Өгөгдлийн сан нь GitHub дээр байгаа кодонд шийдэгдсэн асуудлууд дахин гарч ирэхээс урьдчилан сэргийлэхийн тулд CodeQL загваруудыг агуулна.
GitHub интерфейсээр дамжуулан та одоо боломжтой Тодорхойлсон асуудлын хувьд CVE танигчийг суулгаж, тайлан бэлтгэж, GitHub өөрөө шаардлагатай мэдэгдлүүдийг илгээж, тэдгээрийн зохицуулалттай засварыг зохион байгуулна. Түүнчлэн, асуудал шийдэгдсэний дараа GitHub нөлөөлөлд өртсөн төсөлтэй холбоотой хамаарлыг шинэчлэхийн тулд татах хүсэлтийг автоматаар илгээх болно.
GitHub нь мөн эмзэг байдлын жагсаалтыг нэмсэн , GitHub дээрх төслүүдэд нөлөөлж буй эмзэг байдлын талаарх мэдээлэл, нөлөөлөлд өртсөн багц, хадгалах газрыг хянах мэдээллийг нийтэлдэг. GitHub дээрх сэтгэгдэлд дурдагдсан CVE таниулбарууд нь илгээсэн мэдээллийн сан дахь эмзэг байдлын талаарх дэлгэрэнгүй мэдээллийг автоматаар холбодог болсон. Өгөгдлийн сантай ажиллах ажлыг автоматжуулахын тулд тусдаа .
Шинэчлэлтийг мөн мэдээлж байна хамгаалах нийтийн хүртээмжтэй хадгалах сан руу
баталгаажуулалтын жетон болон хандалтын түлхүүр зэрэг эмзэг өгөгдөл. Үйл ажиллагааны явцад сканнер нь ашигладаг ердийн түлхүүр болон токен форматыг шалгадаг , үүнд Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack болон Stripe орно. Хэрэв токен тодорхойлогдсон бол алдагдсан жетоныг хүчингүй болгох хүсэлтийг үйлчилгээ үзүүлэгч рүү илгээдэг. Өчигдрийн байдлаар өмнө нь дэмжигдсэн форматуудаас гадна GoCardless, HashiCorp, Postman, Tencent жетонуудыг тодорхойлох дэмжлэг нэмэгдсэн байна.
Эх сурвалж: opennet.ru