Схоже, що керівництво GitHub серйозно задумалося про безпеку ПЗ. Спочатку було сховище даних на Шпіцбергені та фінансової підтримки розробників. А зараз ініціатива GitHub Security Lab, яка передбачає участь усіх зацікавлених фахівців у покращенні безпеки відкритого ПЗ.
В ініціативі вже беруть участь F5, Google, HackerOne, Intel, IOActive, JP. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber та VMWare. Вони за останні два роки допомогли виявити та усунути 105 уразливостей у низці проектів.
Іншим учасникам обіцяно нагороди до $3000 за виявлені вразливості. В інтерфейсі GitHub вже доступна можливість отримати CVE-ідентифікатор для проблеми та створити звіт про неї. Введено в дію каталог уразливостей , що містить відомості про проблеми з програмами, розміщеними на GitHub, вразливих пакетах і так далі.
Крім того, в систему вже додали оновлений захист, який стежить, щоб персональні та конфіденційні дані, на кшталт токенів, ключів тощо, не потрапили до публічних репозиторій. Як стверджується, система автоматично сканує формати ключів від 20 сервісів та хмарних систем. Якщо виявляється проблема, то сервіс-провайдеру надсилається запит для підтвердження проблеми та відкликання скомпрометованих ключів.
Зазначимо, що раніше GitHub був придбаний компанією Microsoft. Схоже, що у Редмонді вирішили всерйоз взятися за безпеку даних.
Джерело: 3dnews.ru