GitHub бо ташаббус , ки ба ташкили ҳамкории коршиносони амниятӣ аз ширкатҳо ва созмонҳои гуногун барои муайян кардани осебпазирӣ ва кӯмак дар рафъи онҳо дар коди лоиҳаҳои кушодаасос нигаронида шудааст.
Ҳамаи ширкатҳои ҳавасманд ва мутахассисони инфиродӣ оид ба амнияти компютерӣ даъват карда мешаванд, ки ба ин ташаббус ҳамроҳ шаванд. Барои муайян кардани осебпазирӣ пардохти мукофоти то $3000, вобаста ба вазнинии мушкилот ва сифати гузориш. Мо тавсия медиҳем, ки асбобҳоро барои пешниҳоди иттилооти мушкилот истифода барем. , ки ба шумо имкон медиҳад, ки қолаби коди осебпазирро барои муайян кардани мавҷудияти осебпазирии шабеҳ дар коди лоиҳаҳои дигар тавлид кунед (CodeQL имкон медиҳад, ки таҳлили семантикии код ва тавлиди дархостҳо барои ҷустуҷӯи сохторҳои муайян).
Муҳаққиқони амният аз F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber ва
VMWare, ки дар давоми ду соли охир и 105 осебпазирӣ дар лоиҳаҳо ба монанди Chromium, libssh2, ядрои Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwanrsgni, , Apache Geode ва Hadoop.
Давраи зиндагии пешниҳодшудаи амнияти рамзи GitHub аз аъзои GitHub Security Lab-ро дар бар мегирад, ки осебпазириро муайян мекунанд, ки пас аз он ба нигоҳдорон ва таҳиягарон ирсол карда мешаванд, ки онҳо ислоҳро таҳия мекунанд, кай ифшо кардани мушкилотро ҳамоҳанг мекунанд ва лоиҳаҳои вобастаро барои насб кардани версия огоҳ мекунанд. Пойгоҳи додаҳо қолибҳои CodeQL-ро дар бар мегирад, то аз дубора пайдо шудани мушкилоти ҳалшуда дар коди дар GitHub мавҷудбуда пешгирӣ кунад.
Тавассути интерфейси GitHub шумо ҳоло метавонед Идентификатори CVE барои мушкилоти муайяншуда ва ҳисобот омода мекунад ва худи GitHub огоҳиномаҳои заруриро мефиристад ва ислоҳи ҳамоҳангшудаи онҳоро ташкил мекунад. Ғайр аз он, пас аз ҳалли мушкилот, GitHub ба таври худкор дархостҳои ҷалбро барои навсозии вобастагии марбут ба лоиҳаи зарардида пешниҳод мекунад.
GitHub инчунин рӯйхати осебпазириро илова кардааст , ки маълумот дар бораи осебпазирӣ, ки ба лоиҳаҳо дар GitHub таъсир мерасонанд ва маълумотро барои пайгирии бастаҳо ва анборҳои зарардида нашр мекунад. Идентификаторҳои CVE, ки дар шарҳҳои GitHub зикр шудаанд, акнун ба таври худкор ба маълумоти муфассал дар бораи осебпазирӣ дар пойгоҳи додаҳо пайваст мешаванд. Барои автоматикунонии кор бо базаи маълумот, алохида .
Навсозӣ низ гузориш дода мешавад муҳофизат кардан аз ба анборҳои дастраси умум
маълумоти ҳассос, ба монанди аломатҳои аутентификатсия ва калидҳои дастрасӣ. Ҳангоми иҷроиш, сканер форматҳои маъмулии калид ва аломати истифодашударо месанҷад , аз ҷумла Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack ва Stripe. Агар нишона муайян карда шавад, ба провайдери хидматрасон дархост фиристода мешавад, ки ихроҷро тасдиқ кунад ва токенҳои вайроншударо лағв кунад. Аз дирӯз, ба ғайр аз форматҳои қаблан дастгирӣшуда, дастгирӣ барои муайян кардани аломатҳои GoCardless, HashiCorp, Postman ва Tencent илова карда шудааст.
Манбаъ: opennet.ru