GitHub cu initiativa , care vizează organizarea colaborării experților în securitate din diverse companii și organizații pentru a identifica vulnerabilități și a ajuta la eliminarea acestora în codul proiectelor open source.
Toate companiile interesate și specialiștii individuali în securitate informatică sunt invitați să se alăture inițiativei. Pentru identificarea vulnerabilității plata unei recompense de până la 3000 USD, în funcție de gravitatea problemei și de calitatea raportului. Vă sugerăm să utilizați setul de instrumente pentru a trimite informații despre problemă. , care vă permite să generați un șablon de cod vulnerabil pentru a identifica prezența unei vulnerabilități similare în codul altor proiecte (CodeQL face posibilă efectuarea unei analize semantice a codului și generarea de interogări pentru a căuta anumite structuri).
Cercetătorii de securitate de la F5, Google, HackerOne, Intel, IOActive, J.P. s-au alăturat deja inițiativei. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber și
VMWare, care în ultimii doi ani и 105 vulnerabilități în proiecte precum Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rs , Apache Geode și Hadoop.
Ciclul de viață al securității codului propus de GitHub implică membrii GitHub Security Lab să identifice vulnerabilități, care vor fi apoi comunicate întreținătorilor și dezvoltatorilor, care vor dezvolta remedieri, vor coordona când să dezvăluie problema și vor informa proiectele dependente pentru a instala versiunea cu eliminarea vulnerabilității. Baza de date va conține șabloane CodeQL pentru a preveni reapariția problemelor rezolvate în codul prezent pe GitHub.
Prin interfața GitHub puteți acum Identificatorul CVE pentru problema identificată și pregătește un raport, iar GitHub însuși va trimite notificările necesare și va organiza corectarea lor coordonată. Mai mult, odată ce problema este rezolvată, GitHub va trimite automat cereri de extragere pentru a actualiza dependențele asociate cu proiectul afectat.
GitHub a adăugat și o listă de vulnerabilități , care publică informații despre vulnerabilitățile care afectează proiectele pe GitHub și informații pentru a urmări pachetele și depozitele afectate. Identificatorii CVE menționați în comentariile de pe GitHub se leagă acum automat la informații detaliate despre vulnerabilitatea din baza de date trimisă. Pentru a automatiza lucrul cu baza de date, un separat .
Se raportează și actualizarea pentru a proteja împotriva către depozite accesibile publicului
date sensibile, cum ar fi jetoanele de autentificare și cheile de acces. În timpul unei comiteri, scanerul verifică formatele tipice de cheie și token utilizate , inclusiv Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack și Stripe. Dacă un token este identificat, o solicitare este trimisă furnizorului de servicii pentru a confirma scurgerea și a revoca token-urile compromise. De ieri, pe lângă formatele acceptate anterior, a fost adăugat și suport pentru definirea jetoanelor GoCardless, HashiCorp, Postman și Tencent.
Sursa: opennet.ru