GitHub met initiatief , gericht op het organiseren van de samenwerking tussen beveiligingsexperts van verschillende bedrijven en organisaties om kwetsbaarheden te identificeren en te helpen deze te elimineren in de code van open source-projecten.
Alle geïnteresseerde bedrijven en individuele computerbeveiligingsspecialisten worden uitgenodigd om zich bij het initiatief aan te sluiten. Voor het identificeren van de kwetsbaarheid betaling van een beloning van maximaal $ 3000, afhankelijk van de ernst van het probleem en de kwaliteit van het rapport. We raden u aan de toolkit te gebruiken om probleeminformatie in te dienen. , waarmee u een sjabloon van kwetsbare code kunt genereren om de aanwezigheid van een soortgelijke kwetsbaarheid in de code van andere projecten te identificeren (CodeQL maakt het mogelijk om semantische analyse van code uit te voeren en zoekopdrachten te genereren om naar bepaalde structuren te zoeken).
Beveiligingsonderzoekers van F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber en
VMWare, dat de afgelopen twee jaar и 105 kwetsbaarheden in projecten zoals Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog , Apache Geode en Hadoop.
De voorgestelde codebeveiligingslevenscyclus van GitHub houdt in dat GitHub Security Lab-leden kwetsbaarheden identificeren, die vervolgens worden gecommuniceerd naar onderhouders en ontwikkelaars, die oplossingen zullen ontwikkelen, zullen coördineren wanneer het probleem moet worden bekendgemaakt en afhankelijke projecten zullen informeren om de versie te installeren. De database zal CodeQL-sjablonen bevatten om te voorkomen dat opgeloste problemen opnieuw verschijnen in de code die op GitHub aanwezig is.
Via de GitHub-interface kunt u nu CVE-identificator voor het geïdentificeerde probleem en stelt een rapport op, en GitHub zal zelf de nodige meldingen verzenden en de gecoördineerde correctie ervan organiseren. Bovendien zal GitHub, zodra het probleem is opgelost, automatisch pull-aanvragen indienen om de afhankelijkheden die aan het getroffen project zijn gekoppeld, bij te werken.
GitHub heeft ook een lijst met kwetsbaarheden toegevoegd , dat informatie publiceert over kwetsbaarheden die van invloed zijn op projecten op GitHub en informatie om getroffen pakketten en repositories te volgen. CVE-identifiers genoemd in reacties op GitHub linken nu automatisch naar gedetailleerde informatie over de kwetsbaarheid in de ingediende database. Om het werken met de database te automatiseren, is er een apart .
Er wordt ook een update gerapporteerd tegen beschermen naar openbaar toegankelijke opslagplaatsen
gevoelige gegevens zoals authenticatietokens en toegangssleutels. Tijdens een commit controleert de scanner de typische gebruikte sleutel- en tokenformaten , inclusief Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack en Stripe. Als een token wordt geïdentificeerd, wordt er een verzoek naar de serviceprovider gestuurd om het lek te bevestigen en de aangetaste tokens in te trekken. Vanaf gisteren is, naast de eerder ondersteunde formaten, ondersteuning voor het definiëren van GoCardless-, HashiCorp-, Postman- en Tencent-tokens toegevoegd.
Bron: opennet.ru