GitHub may inisyatiba , na naglalayong mag-organisa ng magkasanib na gawain ng mga eksperto sa seguridad mula sa iba't ibang kumpanya at organisasyon upang matukoy ang mga kahinaan at tumulong sa kanilang pag-aalis sa code ng mga open source na proyekto.
Ang lahat ng interesadong kumpanya at indibidwal na computer security specialist ay iniimbitahan na sumali sa inisyatiba. Para sa pagtukoy ng kahinaan Isang reward na hanggang $3000 ang babayaran, depende sa kalubhaan ng isyu at sa kalidad ng ulat. Upang magsumite ng impormasyon tungkol sa mga isyu, iminumungkahi namin ang paggamit ng tool , na nagbibigay-daan sa iyong lumikha ng template ng vulnerable code upang matukoy ang pagkakaroon ng katulad na kahinaan sa code ng iba pang mga proyekto (Pinapayagan ka ng CodeQL na magsagawa ng semantic analysis ng code at bumuo ng mga query para maghanap ng mga partikular na construct).
Ang inisyatiba ay sinalihan na ng mga mananaliksik ng seguridad mula sa F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber at
VMWare, na sa nakalipas na dalawang taon и 105 kahinaan sa mga proyekto tulad ng Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode at Hadoop.
Ang iminungkahing lifecycle ng seguridad ng code ng GitHub ay nangangailangan ng mga miyembro ng GitHub Security Lab na tukuyin ang mga kahinaan. Iuulat ang mga isyung ito sa mga maintainer at developer, na gagawa ng mga pag-aayos, mag-coordinate sa timing ng pagsisiwalat, at ipaalam sa mga umaasang proyekto na i-install ang patched na bersyon. Maglalaman ang database ng mga template ng CodeQL upang maiwasan ang pag-ulit ng mga na-patch na isyu sa code na naka-host sa GitHub.
Magagamit mo na ngayon ang interface ng GitHub Isumite ang CVE identifier para sa natukoy na isyu at maghanda ng ulat, at pagkatapos ay ipapadala ng GitHub ang mga kinakailangang abiso at mag-aayos ng pinagsama-samang pag-aayos. Higit pa rito, kapag nalutas na ang isyu, awtomatikong magpapadala ang GitHub ng mga pull request para i-update ang mga dependency na nauugnay sa vulnerable na proyekto.
Nagdagdag din ang GitHub ng katalogo ng kahinaan sa site nito. , na nag-publish ng impormasyon tungkol sa mga kahinaan na nakakaapekto sa mga proyekto ng GitHub at impormasyon para sa pagsubaybay sa mga apektadong package at repository. Ang mga CVE identifier na binanggit sa mga komento sa GitHub ngayon ay awtomatikong nagli-link sa detalyadong impormasyon ng kahinaan sa ibinigay na database. Ang isang hiwalay na tool ay ipinakilala upang i-automate ang trabaho sa database. .
May iniulat din na update upang maprotektahan laban sa sa mga repositori na available sa publiko
sensitibong data, gaya ng mga token sa pagpapatotoo at mga access key. Sa panahon ng commit, sinusuri ng scanner ang karaniwang key at mga format ng token na ginamit , kabilang ang mga Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack, at Stripe API. Kung may nakitang token, may ipapadalang kahilingan sa service provider para kumpirmahin ang pagtagas at bawiin ang mga nakompromisong token. Simula kahapon, bilang karagdagan sa mga dating sinusuportahang format, idinagdag ang suporta para sa pag-detect ng mga token mula sa GoCardless, HashiCorp, Postman, at Tencent.
Pinagmulan: opennet.ru
