GitHub com iniciativa , que visa organizar a colaboração de especialistas em segurança de diversas empresas e organizações para identificar vulnerabilidades e auxiliar na sua eliminação no código de projetos de código aberto.
Todas as empresas interessadas e especialistas individuais em segurança informática estão convidados a aderir à iniciativa. Para identificar a vulnerabilidade pagamento de uma recompensa de até US$ 3000, dependendo da gravidade do problema e da qualidade do relatório. Sugerimos usar o kit de ferramentas para enviar informações sobre o problema. , que permite gerar um template de código vulnerável para identificar a presença de uma vulnerabilidade semelhante no código de outros projetos (o CodeQL permite realizar análises semânticas do código e gerar consultas para busca de determinadas estruturas).
Pesquisadores de segurança da F5, Google, HackerOne, Intel, IOActive, J.P. já aderiram à iniciativa. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber e
VMWare, que nos últimos dois anos и 105 vulnerabilidades em projetos como Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog , Apache Geode e Hadoop.
O ciclo de vida de segurança de código proposto pelo GitHub envolve membros do GitHub Security Lab identificando vulnerabilidades, que serão então comunicadas aos mantenedores e desenvolvedores, que desenvolverão correções, coordenarão quando divulgar o problema e informarão os projetos dependentes para instalar a versão com a eliminação da vulnerabilidade. O banco de dados conterá templates CodeQL para evitar o reaparecimento de problemas resolvidos no código presente no GitHub.
Através da interface do GitHub agora você pode Identificador CVE para o problema identificado e preparará um relatório, e o próprio GitHub enviará as notificações necessárias e organizará sua correção coordenada. Além disso, assim que o problema for resolvido, o GitHub enviará automaticamente solicitações pull para atualizar as dependências associadas ao projeto afetado.
GitHub também adicionou uma lista de vulnerabilidades , que publica informações sobre vulnerabilidades que afetam projetos no GitHub e informações para rastrear pacotes e repositórios afetados. Os identificadores CVE mencionados nos comentários no GitHub agora são vinculados automaticamente a informações detalhadas sobre a vulnerabilidade no banco de dados enviado. Para automatizar o trabalho com o banco de dados, um separado .
Atualização também é relatada para proteger contra para repositórios acessíveis publicamente
dados confidenciais, como tokens de autenticação e chaves de acesso. Durante uma confirmação, o scanner verifica os formatos típicos de chave e token usados , incluindo API Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack e Stripe. Se um token for identificado, uma solicitação será enviada ao provedor de serviços para confirmar o vazamento e revogar os tokens comprometidos. A partir de ontem, além dos formatos anteriormente suportados, foi adicionado suporte para definição de tokens GoCardless, HashiCorp, Postman e Tencent.
Fonte: opennet.ru