GitHub me iniciativën , që synon organizimin e bashkëpunimit të ekspertëve të sigurisë nga kompani dhe organizata të ndryshme për të identifikuar dobësitë dhe për të ndihmuar në eliminimin e tyre në kodin e projekteve me kod të hapur.
Të gjitha kompanitë e interesuara dhe specialistë individualë të sigurisë kompjuterike janë të ftuara t'i bashkohen nismës. Për identifikimin e cenueshmërisë pagesën e një shpërblimi deri në 3000 dollarë, në varësi të ashpërsisë së problemit dhe cilësisë së raportit. Ne sugjerojmë përdorimin e paketës së veglave për të paraqitur informacionin e problemit. , i cili ju lejon të gjeneroni një shabllon të kodit të cenueshëm për të identifikuar praninë e një cenueshmërie të ngjashme në kodin e projekteve të tjera (CodeQL bën të mundur kryerjen e analizave semantike të kodit dhe gjenerimin e pyetjeve për të kërkuar struktura të caktuara).
Studiues sigurie nga F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber dhe
VMWare, e cila gjatë dy viteve të fundit и 105 dobësi në projekte të tilla si Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts,parscheys,strong , Apache Geode dhe Hadoop.
Cikli i jetës së sigurisë së kodit të propozuar nga GitHub përfshin anëtarët e GitHub Security Lab që identifikojnë dobësitë, të cilat më pas do t'u komunikohen mirëmbajtësve dhe zhvilluesve, të cilët do të zhvillojnë rregullime, do të koordinojnë se kur duhet të zbulojnë problemin dhe do të informojnë projektet e varura për të instaluar versionin me eliminimin e cenueshmërisë. Baza e të dhënave do të përmbajë shabllone CodeQL për të parandaluar rishfaqjen e problemeve të zgjidhura në kodin e pranishëm në GitHub.
Nëpërmjet ndërfaqes GitHub tani mundeni Identifikuesi CVE për problemin e identifikuar dhe përgatit një raport, dhe vetë GitHub do të dërgojë njoftimet e nevojshme dhe do të organizojë korrigjimin e tyre të koordinuar. Për më tepër, pasi të zgjidhet çështja, GitHub do të paraqesë automatikisht kërkesa tërheqëse për të përditësuar varësitë që lidhen me projektin e prekur.
GitHub ka shtuar gjithashtu një listë të dobësive , i cili publikon informacione rreth dobësive që prekin projektet në GitHub dhe informacione për të gjurmuar paketat dhe depot e prekura. Identifikuesit CVE të përmendur në komentet në GitHub tani lidhen automatikisht me informacion të detajuar në lidhje me cenueshmërinë në bazën e të dhënave të paraqitur. Për të automatizuar punën me bazën e të dhënave, një i veçantë .
Raportohet gjithashtu një përditësim për të mbrojtur kundër në depo të aksesueshme për publikun
të dhëna të ndjeshme si shenjat e vërtetimit dhe çelësat e aksesit. Gjatë një kryerjeje, skaneri kontrollon formatet tipike të çelësit dhe tokenit të përdorur , duke përfshirë Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack dhe Stripe. Nëse identifikohet një shenjë, një kërkesë i dërgohet ofruesit të shërbimit për të konfirmuar rrjedhjen dhe për të revokuar shenjat e komprometuara. Prej dje, përveç formateve të mbështetura më parë, është shtuar edhe mbështetja për përcaktimin e tokenëve GoCardless, HashiCorp, Postman dhe Tencent.
Burimi: opennet.ru