GitHub ด้วยความคิดริเริ่ม มีวัตถุประสงค์เพื่อจัดระเบียบความร่วมมือของผู้เชี่ยวชาญด้านความปลอดภัยจากบริษัทและองค์กรต่างๆ เพื่อระบุช่องโหว่และช่วยเหลือในการกำจัดช่องโหว่ในโค้ดของโครงการโอเพ่นซอร์ส
บริษัทที่สนใจและผู้เชี่ยวชาญด้านความปลอดภัยคอมพิวเตอร์รายบุคคลได้รับเชิญให้เข้าร่วมโครงการริเริ่มนี้ สำหรับการระบุจุดอ่อน การจ่ายเงินรางวัลสูงถึง $3000 ขึ้นอยู่กับความรุนแรงของปัญหาและคุณภาพของรายงาน เราขอแนะนำให้ใช้ชุดเครื่องมือเพื่อส่งข้อมูลปัญหา ซึ่งช่วยให้คุณสร้างเทมเพลตของโค้ดที่มีช่องโหว่เพื่อระบุการมีอยู่ของช่องโหว่ที่คล้ายกันในโค้ดของโปรเจ็กต์อื่น ๆ (CodeQL ช่วยให้สามารถทำการวิเคราะห์เชิงความหมายของโค้ดและสร้างแบบสอบถามเพื่อค้นหาโครงสร้างบางอย่าง)
นักวิจัยด้านความปลอดภัยจาก F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber และ
VMWare ซึ่งในช่วงสองปีที่ผ่านมา и ช่องโหว่ 105 รายการในโครงการต่างๆ เช่น Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog , อาปาเช่ จีโอด และ ฮาดูป
วงจรการรักษาความปลอดภัยรหัสที่เสนอของ GitHub เกี่ยวข้องกับสมาชิก GitHub Security Lab ที่ระบุช่องโหว่ซึ่งจะมีการสื่อสารไปยังผู้ดูแลและนักพัฒนาซึ่งจะพัฒนาการแก้ไข ประสานงานเมื่อต้องเปิดเผยปัญหา และแจ้งโครงการที่ต้องพึ่งพาเพื่อติดตั้งเวอร์ชัน พร้อมกำจัดช่องโหว่ ฐานข้อมูลจะมีเทมเพลต CodeQL เพื่อป้องกันปัญหาที่แก้ไขแล้วปรากฏขึ้นอีกครั้งในโค้ดที่แสดงบน GitHub
ผ่านอินเทอร์เฟซ GitHub คุณสามารถทำได้แล้ว ตัวระบุ CVE สำหรับปัญหาที่ระบุและจัดทำรายงาน และ GitHub เองก็จะส่งการแจ้งเตือนที่จำเป็นและจัดระเบียบการแก้ไขที่ประสานงานกัน นอกจากนี้ เมื่อปัญหาได้รับการแก้ไข GitHub จะส่งคำขอดึงโดยอัตโนมัติเพื่ออัปเดตการขึ้นต่อกันที่เกี่ยวข้องกับโปรเจ็กต์ที่ได้รับผลกระทบ
GitHub ยังได้เพิ่มรายการช่องโหว่อีกด้วย ซึ่งเผยแพร่ข้อมูลเกี่ยวกับช่องโหว่ที่ส่งผลกระทบต่อโปรเจ็กต์บน GitHub และข้อมูลเพื่อติดตามแพ็คเกจและพื้นที่เก็บข้อมูลที่ได้รับผลกระทบ ตัวระบุ CVE ที่กล่าวถึงในความคิดเห็นบน GitHub จะเชื่อมโยงกับข้อมูลโดยละเอียดเกี่ยวกับช่องโหว่ในฐานข้อมูลที่ส่งมาโดยอัตโนมัติ เพื่อทำงานอัตโนมัติกับฐานข้อมูลแยกต่างหาก .
มีการรายงานการอัปเดตด้วย เพื่อป้องกัน ไปยังคลังข้อมูลสาธารณะที่เข้าถึงได้
ข้อมูลที่ละเอียดอ่อน เช่น โทเค็นการรับรองความถูกต้องและคีย์การเข้าถึง ในระหว่างการส่งคำสั่ง เครื่องสแกนจะตรวจสอบรูปแบบคีย์และโทเค็นทั่วไปที่ใช้ รวมถึง Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack และ Stripe หากมีการระบุโทเค็น คำขอจะถูกส่งไปยังผู้ให้บริการเพื่อยืนยันการรั่วไหลและเพิกถอนโทเค็นที่ถูกบุกรุก ณ เมื่อวาน นอกเหนือจากรูปแบบที่รองรับก่อนหน้านี้แล้ว ยังเพิ่มการรองรับการกำหนดโทเค็น GoCardless, HashiCorp, Postman และ Tencent อีกด้วย
ที่มา: opennet.ru