GitHub med initiativet , rettet mot å organisere samarbeidet mellom sikkerhetseksperter fra ulike selskaper og organisasjoner for å identifisere sårbarheter og hjelpe til med å eliminere dem i koden for åpen kildekode-prosjekter.
Alle interesserte bedrifter og individuelle datasikkerhetsspesialister inviteres til å bli med på initiativet. For å identifisere sårbarheten utbetaling av en belønning på opptil $3000, avhengig av alvorlighetsgraden av problemet og kvaliteten på rapporten. Vi foreslår at du bruker verktøysettet til å sende inn probleminformasjon. , som lar deg generere en mal med sårbar kode for å identifisere tilstedeværelsen av en lignende sårbarhet i koden til andre prosjekter (CodeQL gjør det mulig å utføre semantisk analyse av kode og generere spørringer for å søke etter visse strukturer).
Sikkerhetsforskere fra F5, Google, HackerOne, Intel, IOActive, J.P. har allerede sluttet seg til initiativet. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber og
VMWare, som i løpet av de siste to årene и 105 sårbarheter i prosjekter som Chromium, libssh2, Linux-kjerne, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, , Apache Geode og Hadoop.
GitHubs foreslåtte kodesikkerhetslivssyklus involverer GitHub Security Lab-medlemmer som identifiserer sårbarheter, som deretter vil bli kommunisert til vedlikeholdere og utviklere, som vil utvikle rettelser, koordinere når problemet skal avsløres og informere avhengige prosjekter om å installere versjonen, med eliminering av sårbarheten. Databasen vil inneholde CodeQL-maler for å forhindre at løste problemer dukker opp igjen i koden på GitHub.
Gjennom GitHub-grensesnittet kan du nå CVE identifier for det identifiserte problemet og utarbeide en rapport, og GitHub selv vil sende ut de nødvendige varslene og organisere deres koordinerte retting. Dessuten, når problemet er løst, vil GitHub automatisk sende inn pull-forespørsler for å oppdatere avhengigheter knyttet til det berørte prosjektet.
GitHub har også lagt til en liste over sårbarheter , som publiserer informasjon om sårbarheter som påvirker prosjekter på GitHub og informasjon for å spore berørte pakker og repositories. CVE-identifikatorer nevnt i kommentarer på GitHub kobler nå automatisk til detaljert informasjon om sårbarheten i den innsendte databasen. For å automatisere arbeidet med databasen, en egen .
Oppdatering er også rapportert å beskytte mot til offentlig tilgjengelige depoter
sensitive data som autentiseringstokener og tilgangsnøkler. Under en commit sjekker skanneren de typiske nøkkel- og tokenformatene som brukes , inkludert Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack og Stripe. Hvis et token blir identifisert, sendes en forespørsel til tjenesteleverandøren om å bekrefte lekkasjen og tilbakekalle de kompromitterte tokenene. Fra og med i går, i tillegg til tidligere støttede formater, har støtte for å definere GoCardless, HashiCorp, Postman og Tencent tokens blitt lagt til.
Kilde: opennet.ru