GitHub na mpango huo , yenye lengo la kuandaa ushirikiano wa wataalamu wa masuala ya usalama kutoka makampuni na mashirika mbalimbali ili kubaini udhaifu na kusaidia katika kuuondoa katika kanuni za miradi huria.
Makampuni yote yanayovutiwa na wataalamu binafsi wa usalama wa kompyuta wamealikwa kujiunga na mpango huo. Kwa kutambua udhaifu malipo ya zawadi ya hadi $3000, kulingana na ukubwa wa tatizo na ubora wa ripoti. Tunapendekeza kutumia zana ya kuwasilisha maelezo ya tatizo. , ambayo hukuruhusu kutoa kiolezo cha msimbo ulio katika mazingira magumu ili kutambua uwepo wa mazingira magumu sawa katika kanuni za miradi mingine (CodeQL inafanya uwezekano wa kufanya uchambuzi wa semantic wa kanuni na kuzalisha maswali ya kutafuta miundo fulani).
Watafiti wa usalama kutoka F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber na
VMWare, ambayo katika kipindi cha miaka miwili iliyopita ΠΈ Athari 105 katika miradi kama vile Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwani, Apachers Igys, Apachers , Apache Geode na Hadoop.
Mzunguko wa usalama wa msimbo unaopendekezwa wa GitHub unahusisha washiriki wa Maabara ya Usalama ya GitHub kutambua udhaifu, ambao utawasilishwa kwa watunzaji na wasanidi programu, ambao watatengeneza marekebisho, kuratibu wakati wa kufichua suala hilo, na kufahamisha miradi tegemezi ya kusakinisha toleo. Hifadhidata itakuwa na violezo vya CodeQL ili kuzuia kutokea tena kwa matatizo yaliyotatuliwa katika msimbo uliopo kwenye GitHub.
Kupitia kiolesura cha GitHub unaweza sasa Kitambulisho cha CVE cha tatizo lililotambuliwa na kuandaa ripoti, na GitHub yenyewe itatuma arifa zinazohitajika na kupanga masahihisho yao yaliyoratibiwa. Zaidi ya hayo, mara tu suala hilo litakapotatuliwa, GitHub itawasilisha maombi ya kuvuta kiotomatiki ili kusasisha utegemezi unaohusishwa na mradi ulioathiriwa.
GitHub pia imeongeza orodha ya udhaifu , ambayo huchapisha maelezo kuhusu udhaifu unaoathiri miradi kwenye GitHub na maelezo ya kufuatilia furushi na hazina zilizoathiriwa. Vitambulishi vya CVE vilivyotajwa kwenye maoni kwenye GitHub sasa vinaunganishwa kiotomatiki kwa maelezo ya kina kuhusu uwezekano wa kuathirika katika hifadhidata iliyowasilishwa. Kurekebisha kazi na hifadhidata, tofauti .
Sasisho pia limeripotiwa kulinda dhidi ya kwa hazina zinazoweza kufikiwa na umma
data nyeti kama vile tokeni za uthibitishaji na vitufe vya ufikiaji. Wakati wa ahadi, skana hukagua ufunguo wa kawaida na fomati za tokeni zinazotumika , ikiwa ni pamoja na Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack na Stripe. Ikiwa ishara imetambuliwa, ombi linatumwa kwa mtoa huduma ili kuthibitisha uvujaji na kufuta ishara zilizoathirika. Kufikia jana, pamoja na fomati zilizotumika hapo awali, usaidizi wa kufafanua tokeni za GoCardless, HashiCorp, Postman na Tencent umeongezwa.
Chanzo: opennet.ru