ГитХуб са иницијативом , чији је циљ организовање сарадње стручњака за безбедност из различитих компанија и организација у циљу идентификовања рањивости и помоћи у њиховом елиминисању у коду пројеката отвореног кода.
Позивају се све заинтересоване компаније и поједини стручњаци за рачунарску безбедност да се придруже иницијативи. За идентификацију рањивости исплата награде до 3000 долара, у зависности од озбиљности проблема и квалитета извештаја. Предлажемо да користите комплет алата за слање информација о проблему. , који вам омогућава да генеришете шаблон рањивог кода да бисте идентификовали присуство сличне рањивости у коду других пројеката (ЦодеКЛ омогућава спровођење семантичке анализе кода и генерисање упита за тражење одређених структура).
Истраживачи безбедности из Ф5, Гоогле, ХацкерОне, Интел, ИОАцтиве, Ј.П. већ су се придружили иницијативи. Морган, ЛинкедИн, Мицрософт, Мозилла, НЦЦ Гроуп, Орацле, Траил оф Битс, Убер и
ВМВаре, који у протекле две године и 105 рањивости у пројектима као што су Цхромиум, либссх2, Линук кернел, Мемцацхед, УБоот, ВЛЦ, Аппорт, ХХВМ, Екив2, ФФмпег, Физз, либав, Ансибле, нпм, КСНУ, Гхостсцрипт, Ицецаст, Апацхе Струтс, ИСвангните, Апарс , Апацхе Геоде и Хадооп.
ГитХуб-ов предложени животни циклус безбедности кода укључује чланове ГитХуб Сецурити Лаб-а који идентификују рањивости, које ће затим бити саопштене одржаваоцима и програмерима, који ће развити исправке, координирати када да открију проблем и информишу зависне пројекте да инсталирају верзију уз елиминисање рањивости. База података ће садржати ЦодеКЛ шаблоне како би се спречило поновно појављивање решених проблема у коду присутном на ГитХуб-у.
Сада можете преко ГитХуб интерфејса ЦВЕ идентификатор за идентификовани проблем и припремити извештај, а ГитХуб ће сам послати потребна обавештења и организовати њихову координирану исправку. Штавише, када се проблем реши, ГитХуб ће аутоматски послати захтеве за повлачење за ажурирање зависности повезаних са погођеним пројектом.
ГитХуб је такође додао листу рањивости , који објављује информације о рањивости које утичу на пројекте на ГитХуб-у и информације за праћење погођених пакета и спремишта. ЦВЕ идентификатори који се помињу у коментарима на ГитХуб-у сада се аутоматски повезују са детаљним информацијама о рањивости у достављеној бази података. За аутоматизацију рада са базом података, посебан .
Такође се извештава о ажурирању заштитити од у јавно доступна спремишта
осетљиве податке као што су токени за аутентификацију и приступни кључеви. Током урезивања, скенер проверава типичне формате кључева и токена који се користе , укључујући Алибаба Цлоуд АПИ, Амазон Веб Сервицес (АВС), Азуре, Гоогле Цлоуд, Слацк и Стрипе. Ако је токен идентификован, провајдеру се шаље захтев да потврди цурење и опозове компромитоване токене. Од јуче је, поред претходно подржаних формата, додата подршка за дефинисање токена ГоЦардлесс, ХасхиЦорп, Постман и Тенцент.
Извор: опеннет.ру