GitHub med initiativ , som syftar till att organisera samarbetet mellan säkerhetsexperter från olika företag och organisationer för att identifiera sårbarheter och hjälpa till att eliminera dem i koden för projekt med öppen källkod.
Alla intresserade företag och enskilda datasäkerhetsspecialister är välkomna att gå med i initiativet. För att identifiera sårbarheten utbetalning av en belöning på upp till 3000 XNUMX USD, beroende på hur allvarlig problemet är och rapportens kvalitet. Vi föreslår att du använder verktygslådan för att skicka probleminformation. , som låter dig generera en mall för sårbar kod för att identifiera förekomsten av en liknande sårbarhet i koden för andra projekt (CodeQL gör det möjligt att utföra semantisk analys av kod och generera frågor för att söka efter vissa strukturer).
Säkerhetsforskare från F5, Google, HackerOne, Intel, IOActive, J.P. har redan anslutit sig till initiativet. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber och
VMWare, som under de senaste två åren и 105 sårbarheter i projekt som Chromium, libssh2, Linux-kärna, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, , Apache Geode och Hadoop.
GitHubs föreslagna kodsäkerhetslivscykel involverar GitHub Security Lab-medlemmar som identifierar sårbarheter, som sedan kommer att kommuniceras till underhållare och utvecklare, som kommer att utveckla korrigeringar, koordinera när problemet ska avslöjas och informera beroende projekt för att installera versionen, för att eliminera sårbarheten. Databasen kommer att innehålla CodeQL-mallar för att förhindra att lösta problem återkommer i koden som finns på GitHub.
Genom GitHub-gränssnittet kan du nu CVE-identifierare för det identifierade problemet och förbered en rapport, och GitHub själv kommer att skicka ut nödvändiga meddelanden och organisera deras samordnade korrigering. Dessutom, när problemet är löst kommer GitHub automatiskt att skicka pull-förfrågningar för att uppdatera beroenden som är associerade med det berörda projektet.
GitHub har också lagt till en lista över sårbarheter , som publicerar information om sårbarheter som påverkar projekt på GitHub och information för att spåra påverkade paket och arkiv. CVE-identifierare som nämns i kommentarer på GitHub länkar nu automatiskt till detaljerad information om sårbarheten i den inlämnade databasen. För att automatisera arbetet med databasen, en separat .
Uppdatering rapporteras också att skydda sig mot till allmänt tillgängliga arkiv
känsliga data som autentiseringstokens och åtkomstnycklar. Under en commit kontrollerar skannern de typiska nyckel- och tokenformaten som används , inklusive Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack och Stripe. Om en token identifieras skickas en begäran till tjänsteleverantören för att bekräfta läckan och återkalla de komprometterade tokens. Från och med igår, förutom tidigare stödda format, har stöd för att definiera GoCardless, HashiCorp, Postman och Tencent tokens lagts till.
Källa: opennet.ru