GitHub මුලපිරීම සමඟ , විවෘත මූලාශ්ර ව්යාපෘති සංග්රහය තුළ දුර්වලතා හඳුනා ගැනීමට සහ ඒවා ඉවත් කිරීමට සහාය වීමට විවිධ සමාගම් සහ සංවිධානවල ආරක්ෂක විශේෂඥයින්ගේ සහයෝගීතාව සංවිධානය කිරීම අරමුණු කර ගෙන ඇත.
උනන්දුවක් දක්වන සියලුම සමාගම් සහ පුද්ගලික පරිගණක ආරක්ෂණ විශේෂඥයින්ට මුලපිරීම සඳහා එක්වන ලෙස ආරාධනා කෙරේ. අවදානම හඳුනා ගැනීම සඳහා ගැටලුවේ බරපතලකම සහ වාර්තාවේ ගුණාත්මකභාවය අනුව $3000 දක්වා ත්යාගයක් ගෙවීම. ගැටළු තොරතුරු ඉදිරිපත් කිරීමට මෙවලම් කට්ටලය භාවිතා කිරීමට අපි යෝජනා කරමු. , වෙනත් ව්යාපෘතිවල කේතයේ සමාන අවදානමක් තිබේදැයි හඳුනා ගැනීමට අවදානමට ලක්විය හැකි කේත සැකිල්ලක් ජනනය කිරීමට ඔබට ඉඩ සලසයි (CodeQL මඟින් කේතයේ අර්ථකථන විශ්ලේෂණය කිරීමට සහ ඇතැම් ව්යුහයන් සෙවීම සඳහා විමසුම් උත්පාදනය කිරීමට හැකි වේ).
F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber සහ වෙතින් ආරක්ෂක පර්යේෂකයන්
VMWare, පසුගිය වසර දෙක පුරා и Chromium, libssh105, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apachewan Struggs, Apachewan, වැනි ව්යාපෘතිවල දුර්වලතා 2ක් , Apache Geode සහ Hadoop.
GitHub හි යෝජිත කේත ආරක්ෂණ ජීවන චක්රයට GitHub ආරක්ෂක විද්යාගාර සාමාජිකයින් අවදානම් හඳුනාගැනීම ඇතුළත් වන අතර, එය නඩත්තු කරන්නන් සහ සංවර්ධකයින් වෙත දැනුම් දෙනු ඇත, ඔවුන් නිවැරදි කිරීම් සංවර්ධනය කරයි, ගැටලුව හෙළිදරව් කරන විට සම්බන්ධීකරණය කරයි, සහ අනුවාදය ස්ථාපනය කිරීමට යැපෙන ව්යාපෘති වෙත දැනුම් දෙනු ඇත. GitHub හි ඇති කේතයේ විසඳන ලද ගැටළු නැවත මතුවීම වැළැක්වීම සඳහා දත්ත සමුදායේ CodeQL සැකිලි අඩංගු වේ.
GitHub අතුරුමුහුණත හරහා ඔබට දැන් පුළුවන් හඳුනාගත් ගැටලුව සඳහා CVE හඳුනාගැනීම සහ වාර්තාවක් සකස් කිරීම සහ GitHub විසින්ම අවශ්ය දැනුම්දීම් යවා ඒවායේ සම්බන්ධීකරණ නිවැරදි කිරීම් සංවිධානය කරනු ඇත. එපමනක් නොව, ගැටළුව නිරාකරණය වූ පසු, බලපෑමට ලක් වූ ව්යාපෘතිය හා සම්බන්ධ පරායත්තතා යාවත්කාලීන කිරීමට GitHub ස්වයංක්රීයව පුල් ඉල්ලීම් ඉදිරිපත් කරනු ඇත.
GitHub අවදානම් ලැයිස්තුවක් ද එකතු කර ඇත , GitHub හි ව්යාපෘතිවලට බලපාන අවදානම් පිළිබඳ තොරතුරු සහ බලපෑමට ලක් වූ පැකේජ සහ ගබඩාවන් නිරීක්ෂණය කිරීමට තොරතුරු ප්රකාශයට පත් කරයි. GitHub හි අදහස්වල සඳහන් CVE හඳුනාගැනීම් දැන් ඉදිරිපත් කරන ලද දත්ත ගබඩාවේ ඇති අවදානම පිළිබඳ සවිස්තරාත්මක තොරතුරු වෙත ස්වයංක්රීයව සම්බන්ධ වේ. දත්ත සමුදාය සමඟ වැඩ ස්වයංක්රීය කිරීමට, වෙනම .
යාවත්කාලීන කිරීම ද වාර්තා වේ එරෙහිව ආරක්ෂා කිරීමට ප්රසිද්ධියේ ප්රවේශ විය හැකි ගබඩා වෙත
සත්යාපන ටෝකන සහ ප්රවේශ යතුරු වැනි සංවේදී දත්ත. කැපවීමක් අතරතුර, ස්කෑනරය භාවිතා කරන සාමාන්ය යතුර සහ ටෝකන් ආකෘති පරීක්ෂා කරයි , Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack and Stripe ඇතුළුව. ටෝකනයක් හඳුනාගෙන තිබේ නම්, කාන්දුව තහවුරු කිරීමට සහ සම්මුතියට පත් ටෝකන අවලංගු කිරීමට සේවා සපයන්නා වෙත ඉල්ලීමක් යවනු ලැබේ. ඊයේ වන විට, කලින් සහාය දක්වන ලද ආකෘති වලට අමතරව, GoCardless, HashiCorp, Postman සහ Tencent ටෝකන නිර්වචනය කිරීම සඳහා සහය එකතු කර ඇත.
මූලාශ්රය: opennet.ru