GitHub s pobudo , katerega namen je organizirati sodelovanje varnostnih strokovnjakov iz različnih podjetij in organizacij za prepoznavanje ranljivosti in pomoč pri njihovi odpravi v kodi odprtokodnih projektov.
K pobudi vabimo vsa zainteresirana podjetja in posamezne strokovnjake za računalniško varnost. Za prepoznavanje ranljivosti plačilo nagrade do 3000 USD, odvisno od resnosti problema in kakovosti poročila. Predlagamo uporabo kompleta orodij za pošiljanje informacij o težavi. , ki vam omogoča ustvarjanje predloge ranljive kode za prepoznavanje prisotnosti podobne ranljivosti v kodi drugih projektov (CodeQL omogoča izvajanje semantične analize kode in ustvarjanje poizvedb za iskanje določenih struktur).
Varnostni raziskovalci iz F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber in
VMWare, ki je v zadnjih dveh letih и 105 ranljivosti v projektih, kot so Chromium, libssh2, jedro Linuxa, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog , Apache Geode in Hadoop.
Življenjski cikel varnosti kode, ki ga predlaga GitHub, vključuje člane GitHub Security Lab, ki identificirajo ranljivosti, ki bodo nato sporočene vzdrževalcem in razvijalcem, ki bodo razvili popravke, uskladili, kdaj naj razkrijejo težavo, in obvestili odvisne projekte, da namestijo različico z odpravo ranljivosti. Baza podatkov bo vsebovala predloge CodeQL za preprečevanje ponovnega pojavljanja razrešenih težav v kodi, ki je prisotna na GitHubu.
Zdaj lahko prek vmesnika GitHub CVE identifikator za ugotovljeno težavo in pripravi poročilo, GitHub pa bo sam poslal potrebna obvestila in organiziral njihovo usklajeno odpravo. Poleg tega bo GitHub, ko bo težava odpravljena, samodejno poslal zahteve za vlečenje za posodobitev odvisnosti, povezanih s prizadetim projektom.
GitHub je dodal tudi seznam ranljivosti , ki objavlja informacije o ranljivostih, ki vplivajo na projekte na GitHubu, in informacije za sledenje prizadetim paketom in repozitorijem. Identifikatorji CVE, omenjeni v komentarjih na GitHub, se zdaj samodejno povezujejo s podrobnimi informacijami o ranljivosti v predloženi bazi podatkov. Za avtomatizacijo dela z bazo podatkov, ločeno .
Sporočena je tudi posodobitev za zaščito pred v javno dostopne repozitorije
občutljive podatke, kot so žetoni za preverjanje pristnosti in ključi za dostop. Med potrditvijo pregledovalnik preveri tipične uporabljene oblike ključa in žetona , vključno z Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack in Stripe. Če je žeton prepoznan, se ponudniku storitev pošlje zahteva za potrditev uhajanja in preklic ogroženih žetonov. Od včeraj je poleg prej podprtih formatov dodana podpora za definiranje žetonov GoCardless, HashiCorp, Postman in Tencent.
Vir: opennet.ru