GitHub inisiyatifle , çeşitli şirket ve kuruluşlardan güvenlik uzmanlarının işbirliğini organize ederek açık kaynak projelerinin kodlarındaki güvenlik açıklarını belirlemeyi ve bunların ortadan kaldırılmasına yardımcı olmayı amaçlamaktadır.
İlgilenen tüm şirketler ve bireysel bilgisayar güvenliği uzmanları bu girişime katılmaya davetlidir. Güvenlik açığını belirlemek için sorunun ciddiyetine ve raporun kalitesine bağlı olarak 3000 $'a kadar ödül ödenmesi. Sorun bilgilerini göndermek için araç setini kullanmanızı öneririz. , diğer projelerin kodlarında benzer bir güvenlik açığının varlığını belirlemek için güvenlik açığı bulunan kodlardan oluşan bir şablon oluşturmanıza olanak tanır (CodeQL, kodun anlamsal analizini yapmayı ve belirli yapıları aramak için sorgular oluşturmayı mümkün kılar).
F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber ve güvenlik araştırmacıları
VMWare, son iki yılda и Chromium, libssh105, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, StrongSwan, Apache Ignite, rsyslog gibi projelerdeki 2 güvenlik açığı , Apache Geode ve Hadoop.
GitHub'un önerilen kod güvenliği yaşam döngüsü, GitHub Güvenlik Laboratuvarı üyelerinin güvenlik açıklarını tanımlamasını içerir ve bu güvenlik açıkları daha sonra düzeltmeler geliştirecek, sorunun ne zaman açıklanacağını koordine edecek ve bağımlı projeleri sürümü yüklemeleri için bilgilendirecek bakımcılara ve geliştiricilere iletilecek ve güvenlik açığını ortadan kaldıracaktır. Veritabanı, GitHub'da bulunan kodda çözülen sorunların yeniden ortaya çıkmasını önlemek için CodeQL şablonlarını içerecektir.
GitHub arayüzü aracılığıyla artık şunları yapabilirsiniz: Belirlenen sorun için CVE tanımlayıcısını oluşturup bir rapor hazırlayacak ve GitHub'un kendisi de gerekli bildirimleri gönderecek ve bunların koordineli olarak düzeltilmesini organize edecektir. Ayrıca sorun çözüldüğünde GitHub, etkilenen projeyle ilişkili bağımlılıkları güncellemek için otomatik olarak çekme istekleri gönderecektir.
GitHub ayrıca bir güvenlik açıkları listesi de ekledi GitHub'daki projeleri etkileyen güvenlik açıkları hakkında bilgiler ve etkilenen paketleri ve depoları izlemeye yönelik bilgiler yayınlayan. GitHub'daki yorumlarda bahsedilen CVE tanımlayıcıları artık otomatik olarak gönderilen veritabanındaki güvenlik açığıyla ilgili ayrıntılı bilgilere bağlantı veriyor. Veritabanıyla çalışmayı otomatikleştirmek için ayrı bir .
Güncelleme de bildirildi karşı korumak kamuya açık depolara
kimlik doğrulama belirteçleri ve erişim anahtarları gibi hassas veriler. Taahhüt sırasında tarayıcı, kullanılan tipik anahtar ve belirteç formatlarını kontrol eder Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack ve Stripe dahil. Bir token tanımlanırsa, servis sağlayıcıya sızıntıyı onaylaması ve ele geçirilen tokenleri iptal etmesi için bir talep gönderilir. Dün itibarıyla daha önce desteklenen formatlara ek olarak GoCardless, HashiCorp, Postman ve Tencent tokenlarını tanımlama desteği de eklendi.
Kaynak: opennet.ru