GitHub kalawan inisiatif , aimed dina pangatur kolaborasi para ahli kaamanan ti sagala rupa pausahaan jeung organisasi pikeun ngaidentipikasi vulnerabilities tur mantuan dina ngaleungitkeun aranjeunna dina kode proyék open source.
Sadaya perusahaan kabetot sareng spesialis kaamanan komputer individu diondang pikeun ngiringan inisiatif éta. Pikeun ngaidentipikasi kerentanan pangmayaran ganjaran nepi ka $ 3000, gumantung kana severity tina masalah jeung kualitas laporan. Kami nyarankeun ngagunakeun toolkit pikeun ngalebetkeun inpormasi masalah. , nu ngidinan Anjeun pikeun ngahasilkeun template kode rentan pikeun ngaidentipikasi ayana kerentanan sarupa dina kode proyék séjén (CodeQL ngamungkinkeun pikeun ngalaksanakeun analisis semantis kode sarta ngahasilkeun queries pikeun milarian struktur tangtu).
Panaliti kaamanan ti F5, Google, HackerOne, Intel, IOActive, JP parantos ngiringan inisiatif éta. Morgan, LinkedIn, Microsoft, Mozilla, NCC Grup, Oracle, Trail of Bits, Uber jeung
VMWare, anu dina dua taun katukang и 105 kerentanan dina proyék sapertos Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsy , Apache Geode jeung Hadoop.
Daur hirup kaamanan kode anu diusulkeun GitHub ngalibatkeun anggota Lab Kaamanan GitHub anu ngaidentipikasi kerentanan, anu teras bakal dikomunikasikeun ka pangropéa sareng pamekar, anu bakal ngembangkeun perbaikan, koordinat iraha ngungkabkeun masalah éta, sareng ngawartosan proyék-proyék anu gumantung pikeun masang versina. Database bakal ngandung témplat CodeQL pikeun nyegah munculna deui masalah anu direngsekeun dina kode anu aya dina GitHub.
Ngaliwatan panganteur GitHub anjeun tiasa ayeuna CVE identifier pikeun masalah anu diidentifikasi sareng nyiapkeun laporan, sareng GitHub nyalira bakal ngirim bewara anu diperyogikeun sareng ngatur koréksi koordinasina. Sumawona, saatos masalahna direngsekeun, GitHub bakal otomatis ngalebetkeun pamundut tarik pikeun ngapdet katergantungan anu aya hubunganana sareng proyék anu kapangaruhan.
GitHub ogé parantos nambihan daptar kerentanan , anu nyebarkeun inpormasi ngeunaan kerentanan anu mangaruhan proyék di GitHub sareng inpormasi pikeun ngalacak bungkusan sareng repositori anu kapangaruhan. CVE identifiers disebutkeun dina komentar on GitHub ayeuna otomatis numbu ka inpo wincik tentang kerentanan dina database dikintunkeun. Pikeun ngajadikeun otomatis karya kalawan database, a misah .
Pembaruan ogé dilaporkeun ngajaga ngalawan ka repositories diaksés publik
data sénsitip sapertos token auténtikasi sareng konci aksés. Salila komitmen, panyeken mariksa konci has sareng format token anu dianggo , kaasup Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack jeung Stripe. Upami token diidentifikasi, pamenta dikirim ka panyadia jasa pikeun ngonfirmasi bocor sareng nyabut token anu badé dikompromi. Sapertos kamari, salian ti format anu dirojong sateuacana, dukungan pikeun netepkeun token GoCardless, HashiCorp, Postman sareng Tencent parantos ditambah.
sumber: opennet.ru