GitHub kalawan inisiatif , ditujukeun pikeun ngatur padamelan gabungan para ahli kaamanan ti sababaraha perusahaan sareng organisasi pikeun ngaidentipikasi kerentanan sareng ngabantosan dina ngaleungitkeunana dina kode proyék sumber terbuka.
Sadaya perusahaan anu minat sareng spesialis kaamanan komputer individu diulem pikeun ngiringan inisiatif ieu. Pikeun ngaidentipikasi kerentanan Ganjaran dugi ka $3000 bakal dibayar, gumantung kana parahna masalah sareng kualitas laporanana. Pikeun ngalebetkeun inpormasi ngeunaan masalah, kami nyarankeun nganggo alat ieu. , anu ngamungkinkeun anjeun pikeun nyieun citakan kode anu rentan pikeun ngaidentipikasi ayana kerentanan anu sami dina kode proyék anu sanés (CodeQL ngamungkinkeun anjeun pikeun ngalakukeun analisis semantik kode sareng ngahasilkeun pamundut pikeun milarian konstruksi khusus).
Inisiatif ieu parantos diiluan ku para panaliti kaamanan ti F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber sareng
VMWare, anu salami dua taun ka pengker и 105 kerentanan dina proyék sapertos Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode sareng Hadoop.
Siklus hirup kaamanan kode anu diusulkeun ku GitHub meryogikeun anggota GitHub Security Lab pikeun ngaidentipikasi kerentanan. Masalah ieu teras bakal dilaporkeun ka pangurus sareng pamekar, anu bakal ngembangkeun perbaikan, koordinasi waktos panyingkepan, sareng nginpokeun proyék anu gumantung pikeun masang vérsi anu ditambal. Basis data bakal ngandung témplat CodeQL pikeun nyegah kambuhna masalah anu ditambal dina kode anu di-host dina GitHub.
Anjeun ayeuna tiasa nganggo antarmuka GitHub Kirimkeun idéntifikasi CVE pikeun masalah anu diidentipikasi sareng siapkeun laporan, teras GitHub bakal ngirim bewara anu diperyogikeun sareng ngatur perbaikan anu terkoordinasi. Salajengna, sakali masalahna direngsekeun, GitHub bakal otomatis ngirim pamundut tarik pikeun ngapdet dependensi anu aya hubunganana sareng proyék anu rentan.
GitHub ogé nambihan katalog kerentanan kana situsna. , anu nyebarkeun inpormasi ngeunaan kerentanan anu mangaruhan proyék GitHub sareng inpormasi pikeun ngalacak pakét sareng repositori anu kapangaruhan. Identifier CVE anu disebatkeun dina koméntar dina GitHub ayeuna sacara otomatis numbu ka inpormasi kerentanan anu lengkep dina database anu disayogikeun. Alat anu misah parantos diwanohkeun pikeun ngotomatisasi padamelan sareng database. .
Apdet ogé dilaporkeun pikeun ngajaga tina kana gudang anu sayogi pikeun umum
data sénsitip, sapertos token auténtikasi sareng konci aksés. Salila commit, pamindai mariksa format konci sareng token has anu dianggo , kalebet Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack, sareng Stripe API. Upami token kadeteksi, pamundut bakal dikirim ka panyadia layanan pikeun mastikeun bocor sareng nyabut token anu dikompromikeun. Nepi ka kamari, salian ti format anu dirojong sateuacanna, dukungan pikeun ngadeteksi token ti GoCardless, HashiCorp, Postman, sareng Tencent parantos ditambahkeun.
sumber: opennet.ru
