GitHub з ініціативою , націленої на організацію спільної роботи експертів з безпеки з різних компаній та організацій для виявлення вразливостей та сприяння їх усуненню в коді відкритих проектів.
Для підключення до ініціативи запрошуються усі зацікавлені компанії та індивідуальні спеціалісти з комп'ютерної безпеки. За виявлення вразливості виплата винагороди розміром до 3000 доларів, залежно від небезпеки проблеми та якості підготовки звіту. Для надсилання відомостей про проблеми пропонується використовувати інструментарій , що дозволяє сформувати шаблон вразливого коду виявлення наявності подібної вразливості в коді інших проектів (CodeQL дає можливість проводити семантичний аналіз коду і формувати запити для пошуку певних конструкцій).
До ініціативи вже приєдналися дослідники безпеки з компаній F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber та
VMWare, які за останні два роки и 105 вразливостей у таких проектах, як Chromium, libssh2, ядрі Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, str rsyslog, Apache Geode та Hadoop.
Запропонований в GitHub життєвий цикл підтримки безпеки коду передбачає, що учасники GitHub Security Lab будуть виявляти вразливості, після цього інформація про проблеми буде доводитися до мейнтейнерів і розробників, які будуть виробляти виправлення, погоджувати час розголошення відомостей про проблему та інформувати залежні проекти з усуненням уразливості. В базі будуть розміщуватись CodeQL-шаблони, що дозволяють недопустити повторну появу усунених проблем у присутньому на GitHub коді.
Через інтерфейс GitHub тепер можна CVE-ідентифікатор для виявленої проблеми та підготувати звіт, а GitHub вже сам розішле необхідні повідомлення та організує їх скоординоване виправлення. Більше того, після усунення проблеми GitHub автоматично надішле pull-запити для оновлення пов'язаних із вразливим проектом залежностей.
GitHub також ввів у стій каталог уразливостей , в якому публікуються відомості про вразливості, що зачіпають проекти на GitHub, та інформація для відстеження схильних до проблем пакетів і репозиторіїв. Згадані в коментарях на GitHub CVE-ідентифікатори автоматично посилаються на детальну інформацію про вразливість у представленій БД. Для автоматизації роботи з БД запропоновано окремий .
Також повідомляється про оновлення для захисту від у публічно доступні репозиторії
конфіденційних даних, таких як токени автентифікації та ключі доступу. Під час коміту сканер перевіряє типові формати ключів та токенів, що використовуються , включаючи API Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack та Stripe. У разі виявлення токена сервіс-провайдеру надсилається запит для підтвердження витоку та відкликання скомпрометованих токенів. З учорашнього дня, крім форматів, що раніше підтримуються, додана підтримка визначення токенів GoCardless, HashiCorp, Postman і Tencent.
Джерело: opennet.ru