GitHub may inisyatiba , na naglalayong ayusin ang pakikipagtulungan ng mga eksperto sa seguridad mula sa iba't ibang kumpanya at organisasyon upang matukoy ang mga kahinaan at tumulong sa pag-aalis ng mga ito sa code ng mga open source na proyekto.
Ang lahat ng interesadong kumpanya at indibidwal na computer security specialist ay iniimbitahan na sumali sa inisyatiba. Para sa pagtukoy ng kahinaan pagbabayad ng reward na hanggang $3000, depende sa kalubhaan ng problema at kalidad ng ulat. Iminumungkahi namin ang paggamit ng toolkit upang magsumite ng impormasyon ng problema. , na nagbibigay-daan sa iyong bumuo ng template ng vulnerable code upang matukoy ang pagkakaroon ng katulad na kahinaan sa code ng iba pang mga proyekto (Ginagawa ng CodeQL na posible na magsagawa ng semantic analysis ng code at bumuo ng mga query para maghanap ng ilang partikular na istruktura).
Ang mga mananaliksik ng seguridad mula sa F5, Google, HackerOne, Intel, IOActive, J.P. ay sumali na sa inisyatiba. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber at
VMWare, na sa nakalipas na dalawang taon ΠΈ 105 mga kahinaan sa mga proyekto gaya ng Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsy , Apache Geode at Hadoop.
Ang iminungkahing lifecycle ng seguridad ng code ng GitHub ay kinabibilangan ng mga miyembro ng GitHub Security Lab na tumutukoy sa mga kahinaan, na pagkatapos ay ipapaalam sa mga maintainer at developer, na gagawa ng mga pag-aayos, magko-coordinate kung kailan isisiwalat ang isyu, at ipaalam sa mga umaasang proyekto upang i-install ang bersyon. na may pag-aalis ng kahinaan. Maglalaman ang database ng mga template ng CodeQL upang maiwasan ang muling paglitaw ng mga nalutas na problema sa code na nasa GitHub.
Sa pamamagitan ng interface ng GitHub maaari mo na ngayong CVE identifier para sa natukoy na problema at maghanda ng ulat, at ang GitHub mismo ang magpapadala ng mga kinakailangang notification at ayusin ang kanilang pinag-ugnay na pagwawasto. Bukod dito, kapag nalutas na ang isyu, awtomatikong magsusumite ang GitHub ng mga pull request para i-update ang mga dependency na nauugnay sa apektadong proyekto.
Nagdagdag din ang GitHub ng listahan ng mga kahinaan , na naglalathala ng impormasyon tungkol sa mga kahinaan na nakakaapekto sa mga proyekto sa GitHub at impormasyon upang masubaybayan ang mga apektadong pakete at mga repositoryo. Ang mga CVE identifier na binanggit sa mga komento sa GitHub ngayon ay awtomatikong nagli-link sa detalyadong impormasyon tungkol sa kahinaan sa isinumiteng database. Upang i-automate ang trabaho sa database, isang hiwalay .
Iniulat din ang pag-update upang maprotektahan laban sa sa mga repositoryo na naa-access ng publiko
sensitibong data tulad ng mga token sa pagpapatotoo at mga access key. Sa panahon ng commit, sinusuri ng scanner ang karaniwang key at mga format ng token na ginamit , kabilang ang Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack at Stripe. Kung matukoy ang isang token, isang kahilingan ang ipapadala sa service provider upang kumpirmahin ang pagtagas at bawiin ang mga nakompromisong token. Simula kahapon, bilang karagdagan sa mga dating sinusuportahang format, idinagdag ang suporta para sa pagtukoy ng mga token ng GoCardless, HashiCorp, Postman at Tencent.
Pinagmulan: opennet.ru