గ్యాలరీలు చొరవతో , బలహీనతలను గుర్తించడానికి మరియు ఓపెన్ సోర్స్ ప్రాజెక్ట్ల కోడ్లో వాటిని తొలగించడంలో సహాయం చేయడానికి వివిధ కంపెనీలు మరియు సంస్థల నుండి భద్రతా నిపుణుల సహకారాన్ని నిర్వహించడం లక్ష్యంగా పెట్టుకుంది.
ఆసక్తి ఉన్న అన్ని కంపెనీలు మరియు వ్యక్తిగత కంప్యూటర్ భద్రతా నిపుణులు చొరవలో చేరడానికి ఆహ్వానించబడ్డారు. దుర్బలత్వాన్ని గుర్తించడం కోసం సమస్య యొక్క తీవ్రత మరియు నివేదిక నాణ్యత ఆధారంగా $3000 వరకు రివార్డ్ చెల్లింపు. సమస్య సమాచారాన్ని సమర్పించడానికి టూల్కిట్ని ఉపయోగించమని మేము సూచిస్తున్నాము. , ఇది ఇతర ప్రాజెక్ట్ల కోడ్లో ఇలాంటి దుర్బలత్వం ఉనికిని గుర్తించడానికి హాని కలిగించే కోడ్ యొక్క టెంప్లేట్ను రూపొందించడానికి మిమ్మల్ని అనుమతిస్తుంది (కోడ్ యొక్క సెమాంటిక్ విశ్లేషణను నిర్వహించడం మరియు నిర్దిష్ట నిర్మాణాల కోసం శోధించడానికి ప్రశ్నలను రూపొందించడం కోడ్క్యూఎల్ సాధ్యం చేస్తుంది).
F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber మరియు భద్రతా పరిశోధకులు
VMWare, ఇది గత రెండు సంవత్సరాలుగా и క్రోమియం, libssh105, Linux కెర్నల్, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apachewan Struggs, Apachewans, Apachewan , అపాచీ జియోడ్ మరియు హడూప్.
GitHub యొక్క ప్రతిపాదిత కోడ్ సెక్యూరిటీ లైఫ్సైకిల్లో GitHub సెక్యూరిటీ ల్యాబ్ సభ్యులు దుర్బలత్వాలను గుర్తిస్తారు, ఇది నిర్వహణదారులు మరియు డెవలపర్లకు తెలియజేయబడుతుంది, వారు పరిష్కారాలను అభివృద్ధి చేస్తారు, సమస్యను ఎప్పుడు వెల్లడించాలో సమన్వయం చేస్తారు మరియు సంస్కరణను ఇన్స్టాల్ చేయడానికి ఆధారపడిన ప్రాజెక్ట్లకు తెలియజేస్తారు. GitHubలో ఉన్న కోడ్లో పరిష్కరించబడిన సమస్యలు మళ్లీ కనిపించకుండా నిరోధించడానికి డేటాబేస్ CodeQL టెంప్లేట్లను కలిగి ఉంటుంది.
GitHub ఇంటర్ఫేస్ ద్వారా మీరు ఇప్పుడు చేయవచ్చు గుర్తించబడిన సమస్య కోసం CVE ఐడెంటిఫైయర్ మరియు నివేదికను సిద్ధం చేయండి మరియు GitHub స్వయంగా అవసరమైన నోటిఫికేషన్లను పంపుతుంది మరియు వాటి సమన్వయ దిద్దుబాటును నిర్వహిస్తుంది. అంతేకాకుండా, సమస్య పరిష్కరించబడిన తర్వాత, ప్రభావిత ప్రాజెక్ట్తో అనుబంధించబడిన డిపెండెన్సీలను నవీకరించడానికి GitHub స్వయంచాలకంగా పుల్ అభ్యర్థనలను సమర్పిస్తుంది.
GitHub దుర్బలత్వాల జాబితాను కూడా జోడించింది , ఇది GitHubలో ప్రాజెక్ట్లను ప్రభావితం చేసే దుర్బలత్వాల గురించిన సమాచారాన్ని మరియు ప్రభావిత ప్యాకేజీలు మరియు రిపోజిటరీలను ట్రాక్ చేయడానికి సమాచారాన్ని ప్రచురిస్తుంది. GitHubపై వ్యాఖ్యలలో పేర్కొన్న CVE ఐడెంటిఫైయర్లు ఇప్పుడు సమర్పించిన డేటాబేస్లోని దుర్బలత్వం గురించిన వివరణాత్మక సమాచారానికి స్వయంచాలకంగా లింక్ చేస్తాయి. డేటాబేస్తో పనిని ఆటోమేట్ చేయడానికి, ఒక ప్రత్యేకత .
నవీకరణ కూడా నివేదించబడింది వ్యతిరేకంగా రక్షించడానికి పబ్లిక్గా యాక్సెస్ చేయగల రిపోజిటరీలకు
ప్రామాణీకరణ టోకెన్లు మరియు యాక్సెస్ కీలు వంటి సున్నితమైన డేటా. నిబద్ధత సమయంలో, స్కానర్ ఉపయోగించిన సాధారణ కీ మరియు టోకెన్ ఫార్మాట్లను తనిఖీ చేస్తుంది , Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack and Stripeతో సహా. టోకెన్ గుర్తించబడితే, లీక్ను నిర్ధారించడానికి మరియు రాజీపడిన టోకెన్లను ఉపసంహరించుకోవడానికి సర్వీస్ ప్రొవైడర్కు అభ్యర్థన పంపబడుతుంది. నిన్నటి నుండి, మునుపు మద్దతు ఉన్న ఫార్మాట్లకు అదనంగా, GoCardless, HashiCorp, Postman మరియు Tencent టోకెన్లను నిర్వచించడానికి మద్దతు జోడించబడింది.
మూలం: opennet.ru