GitHub شروعات سان ، مقصد مختلف ڪمپنين ۽ تنظيمن جي سيڪيورٽي ماهرن جي تعاون کي منظم ڪرڻ لاءِ خطرن جي نشاندهي ڪرڻ ۽ انهن کي ختم ڪرڻ ۾ مدد ڏيڻ لاءِ اوپن سورس پروجيڪٽ جي ڪوڊ ۾.
سڀني دلچسپي ڪمپنيون ۽ انفرادي ڪمپيوٽر سيڪيورٽي ماهرن کي دعوت ڏني وئي آهي ته شروعات ۾ شامل ٿيڻ لاء. خطري جي سڃاڻپ لاء $3000 تائين جي انعام جي ادائيگي، مسئلي جي شدت ۽ رپورٽ جي معيار تي منحصر ڪري ٿي. اسان ٽول ڪٽ استعمال ڪرڻ جي صلاح ڏيون ٿا مسئلو معلومات جمع ڪرڻ لاءِ. ، جيڪو توهان کي ٻين منصوبن جي ڪوڊ ۾ هڪ جهڙي خطري جي موجودگي کي سڃاڻڻ لاءِ ڪمزور ڪوڊ جو ٽيمپليٽ ٺاهڻ جي اجازت ڏئي ٿو (CodeQL اهو ممڪن بڻائي ٿو ڪوڊ جي معنيٰ وارو تجزيو ڪرڻ ۽ ڪجهه خاص جوڙجڪ جي ڳولا لاءِ سوال پيدا ڪرڻ).
ايف 5، گوگل، هيڪرون، انٽيل، IOActive، JP Morgan، LinkedIn، Microsoft، Mozilla، NCC Group، Oracle، Trail of Bits، Uber ۽
VMWare، جيڪو گذريل ٻن سالن ۾ и منصوبن ۾ 105 ڪمزوريون جهڙوڪ Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, stronger, Icecast. ، Apache Geode ۽ Hadoop.
GitHub جي تجويز ڪيل ڪوڊ سيڪيورٽي لائف سائيڪل ۾ شامل آهي GitHub سيڪيورٽي ليب ميمبرن کي خطرن جي نشاندهي ڪن ٿا، جن کي پوء سنڀاليندڙن ۽ ڊولپرز سان رابطو ڪيو ويندو، جيڪي حل ٺاهيندا، ان مسئلي کي ظاهر ڪرڻ لاء همراه ڪندا، ۽ ورزن کي نصب ڪرڻ لاء منحصر منصوبن کي آگاهي ڏيڻ سان. ڊيٽابيس ۾ CodeQL ٽيمپليٽس شامل هونديون GitHub تي موجود ڪوڊ ۾ حل ٿيل مسئلن جي ٻيهر ظاهر ٿيڻ کي روڪڻ لاءِ.
GitHub انٽرفيس ذريعي توهان هاڻي ڪري سگهو ٿا CVE سڃاڻپ ڪندڙ مسئلي لاءِ سڃاڻپ ڪندڙ ۽ رپورٽ تيار ڪري، ۽ GitHub پاڻ ضروري نوٽيفڪيشن موڪليندو ۽ انهن جي هموار ٿيل اصلاح کي منظم ڪندو. ان کان علاوه، هڪ دفعو مسئلو حل ڪيو ويو آهي، GitHub خودڪار طريقي سان درخواستون جمع ڪري ڇڏيندو متاثر ٿيل منصوبي سان لاڳاپيل انحصار کي اپڊيٽ ڪرڻ لاء.
GitHub پڻ شامل ڪيو آهي نقصان جي فهرست ، جيڪو GitHub تي منصوبن تي اثر انداز ٿيندڙ نقصانن بابت معلومات شايع ڪري ٿو ۽ متاثر ٿيل پيڪيجز ۽ مخزن کي ٽريڪ ڪرڻ لاءِ معلومات. GitHub تي تبصرن ۾ ذڪر ڪيل CVE سڃاڻپ ڪندڙ هاڻي خودڪار طور تي تفصيلي معلومات سان ڳنڍيندا آهن جمع ٿيل ڊيٽابيس ۾ نقصان جي باري ۾. ڊيٽابيس سان ڪم کي خودڪار ڪرڻ لاء، هڪ الڳ .
اپڊيٽ پڻ ٻڌايو ويو آهي جي خلاف حفاظت ڪرڻ عوامي طور تي رسائي جي ذخيري تائين
حساس ڊيٽا جيئن ته تصديق ٽوڪن ۽ رسائي چابيون. هڪ انجام جي دوران، اسڪينر چيڪ ڪري ٿو عام چيڪ ۽ ٽوڪن فارميٽ استعمال ٿيل ، بشمول Alibaba Cloud API، Amazon Web Services (AWS)، Azure، Google Cloud، Slack and Stripe. جيڪڏهن هڪ ٽوڪن جي نشاندهي ڪئي وئي آهي، هڪ درخواست موڪلي وئي آهي خدمت فراهم ڪندڙ کي ليک جي تصديق ڪرڻ ۽ سمجھوتي ٽوڪن کي رد ڪرڻ لاء. ڪالهه تائين، اڳوڻي سپورٽ فارميٽ جي اضافي ۾، GoCardless، HashiCorp، Postman ۽ Tencent ٽوڪن جي وضاحت لاءِ سپورٽ شامل ڪئي وئي آهي.
جو ذريعو: opennet.ru