GitHub dengan inisiatif , bertujuan untuk menganjurkan kerjasama pakar keselamatan daripada pelbagai syarikat dan organisasi untuk mengenal pasti kelemahan dan membantu dalam menghapuskannya dalam kod projek sumber terbuka.
Semua syarikat yang berminat dan pakar keselamatan komputer individu dijemput untuk menyertai inisiatif ini. Untuk mengenal pasti kelemahan pembayaran ganjaran sehingga $3000, bergantung pada keterukan masalah dan kualiti laporan. Kami mencadangkan menggunakan kit alat untuk menyerahkan maklumat masalah. , yang membolehkan anda menjana templat kod terdedah untuk mengenal pasti kehadiran kelemahan serupa dalam kod projek lain (CodeQL membolehkan anda menjalankan analisis semantik kod dan menjana pertanyaan untuk mencari struktur tertentu).
Penyelidik keselamatan dari F5, Google, HackerOne, Intel, IOActive, J.P. telah pun menyertai inisiatif ini. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber dan
VMWare, yang sejak dua tahun lalu ΠΈ 105 kelemahan dalam projek seperti Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsy , Apache Geode dan Hadoop.
Kitaran hayat keselamatan kod yang dicadangkan GitHub melibatkan ahli Makmal Keselamatan GitHub yang mengenal pasti kelemahan, yang kemudiannya akan dimaklumkan kepada penyelenggara dan pembangun, yang akan membangunkan pembetulan, menyelaraskan masa untuk mendedahkan isu tersebut dan memaklumkan projek yang bergantung kepada pemasangan versi. dengan menghapuskan kerentanan. Pangkalan data akan mengandungi templat CodeQL untuk mengelakkan kemunculan semula masalah yang diselesaikan dalam kod yang terdapat pada GitHub.
Melalui antara muka GitHub anda kini boleh Pengecam CVE untuk masalah yang dikenal pasti dan menyediakan laporan, dan GitHub sendiri akan menghantar pemberitahuan yang diperlukan dan mengatur pembetulan yang diselaraskan. Selain itu, sebaik sahaja isu itu diselesaikan, GitHub akan menyerahkan permintaan tarik secara automatik untuk mengemas kini kebergantungan yang dikaitkan dengan projek yang terjejas.
GitHub juga telah menambah senarai kelemahan , yang menerbitkan maklumat tentang kelemahan yang menjejaskan projek di GitHub dan maklumat untuk menjejak pakej dan repositori yang terjejas. Pengecam CVE yang disebut dalam ulasan pada GitHub kini memaut secara automatik kepada maklumat terperinci tentang kelemahan dalam pangkalan data yang diserahkan. Untuk mengautomasikan kerja dengan pangkalan data, yang berasingan .
Kemas kini juga dilaporkan untuk melindungi daripada kepada repositori yang boleh diakses secara umum
data sensitif seperti token pengesahan dan kunci akses. Semasa komit, pengimbas menyemak format kunci dan token biasa yang digunakan , termasuk API Awan Alibaba, Perkhidmatan Web Amazon (AWS), Azure, Awan Google, Slack dan Stripe. Jika token dikenal pasti, permintaan dihantar kepada pembekal perkhidmatan untuk mengesahkan kebocoran dan membatalkan token yang terjejas. Setakat semalam, sebagai tambahan kepada format yang disokong sebelum ini, sokongan untuk mentakrifkan token GoCardless, HashiCorp, Posman dan Tencent telah ditambah.
Sumber: opennet.ru