GitHub s iniciatívou , zameraný na organizáciu spolupráce bezpečnostných expertov z rôznych spoločností a organizácií s cieľom identifikovať zraniteľnosti a pomôcť pri ich odstraňovaní v kóde projektov s otvoreným zdrojovým kódom.
Všetky zainteresované spoločnosti a jednotliví špecialisti na počítačovú bezpečnosť sú pozvaní, aby sa zapojili do tejto iniciatívy. Na identifikáciu zraniteľnosti vyplatenie odmeny až do výšky 3000 XNUMX USD v závislosti od závažnosti problému a kvality správy. Odporúčame vám použiť túto súpravu nástrojov na odoslanie informácií o probléme. , ktorý vám umožňuje vygenerovať šablónu zraniteľného kódu na identifikáciu prítomnosti podobnej zraniteľnosti v kóde iných projektov (CodeQL umožňuje vykonávať sémantickú analýzu kódu a generovať dopyty na vyhľadávanie určitých štruktúr).
Bezpečnostní výskumníci z F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber a
VMWare, ktorý za posledné dva roky и 105 zraniteľností v projektoch, ako sú Chromium, libssh2, Linuxové jadro, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongsyslognite, Apache Ipsyrlognite, A , Apache Geode a Hadoop.
Navrhovaný životný cyklus zabezpečenia kódu GitHub zahŕňa členov bezpečnostného laboratória GitHub, ktorí identifikujú zraniteľné miesta, o ktorých budú následne informovaní správcovia a vývojári, ktorí vyvinú opravy, koordinujú, kedy zverejnia problém, a informujú závislé projekty, aby si nainštalovali verziu, pričom túto zraniteľnosť odstránia. Databáza bude obsahovať šablóny CodeQL, aby sa zabránilo opätovnému objaveniu sa vyriešených problémov v kóde prítomnom na GitHub.
Prostredníctvom rozhrania GitHub teraz môžete Identifikátor CVE pre identifikovaný problém a pripraviť správu a samotný GitHub rozošle potrebné upozornenia a zorganizuje ich koordinovanú nápravu. Okrem toho, keď sa problém vyrieši, GitHub automaticky odošle žiadosti o stiahnutie na aktualizáciu závislostí spojených s dotknutým projektom.
GitHub tiež pridal zoznam zraniteľností , ktorá zverejňuje informácie o zraniteľnostiach ovplyvňujúcich projekty na GitHub a informácie na sledovanie ovplyvnených balíkov a repozitárov. Identifikátory CVE uvedené v komentároch na GitHub teraz automaticky odkazujú na podrobné informácie o zraniteľnosti v odoslanej databáze. Pre automatizáciu práce s databázou je samostatný .
Hlásená je aj aktualizácia chrániť pred do verejne prístupných úložísk
citlivé údaje, ako sú autentifikačné tokeny a prístupové kľúče. Počas potvrdenia skener kontroluje typické používané formáty kľúčov a tokenov , vrátane Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack a Stripe. Ak sa identifikuje token, poskytovateľovi služby sa odošle požiadavka na potvrdenie úniku a odvolanie napadnutých tokenov. Od včera pribudla okrem doteraz podporovaných formátov podpora definovania tokenov GoCardless, HashiCorp, Postman a Tencent.
Zdroj: opennet.ru