GitHub کے پہل کے ساتھ , جس کا مقصد مختلف کمپنیوں اور تنظیموں کے سیکورٹی ماہرین کے تعاون کو منظم کرنا ہے تاکہ کمزوریوں کی نشاندہی کی جا سکے اور اوپن سورس پروجیکٹس کے کوڈ میں ان کو ختم کرنے میں مدد کی جا سکے۔
تمام دلچسپی رکھنے والی کمپنیوں اور انفرادی کمپیوٹر سیکورٹی ماہرین کو اس اقدام میں شامل ہونے کی دعوت دی جاتی ہے۔ کمزوری کی نشاندہی کے لیے $3000 تک کے انعام کی ادائیگی، مسئلہ کی شدت اور رپورٹ کے معیار پر منحصر ہے۔ ہم مسئلہ کی معلومات جمع کرانے کے لیے ٹول کٹ استعمال کرنے کا مشورہ دیتے ہیں۔ ، جو آپ کو دوسرے پروجیکٹس کے کوڈ میں اسی طرح کے خطرے کی موجودگی کی نشاندہی کرنے کے لیے کمزور کوڈ کا ایک ٹیمپلیٹ بنانے کی اجازت دیتا ہے (کوڈ کیو ایل کوڈ کا معنوی تجزیہ کرنا اور مخصوص ڈھانچے کی تلاش کے لیے سوالات پیدا کرنا ممکن بناتا ہے)۔
F5، Google، HackerOne، Intel، IOActive، J.P کے سیکورٹی محققین پہلے ہی اس پہل میں شامل ہو چکے ہیں۔ مورگن، لنکڈ ان، مائیکروسافٹ، موزیلا، این سی سی گروپ، اوریکل، ٹریل آف بٹس، اوبر اور
VMWare، جو پچھلے دو سالوں میں и پروجیکٹس میں 105 کمزوریاں جیسے Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSpan, Icecast. ، اپاچی جیوڈ اور ہڈوپ۔
GitHub کے مجوزہ کوڈ سیکیورٹی لائف سائیکل میں GitHub سیکیورٹی لیب کے اراکین شامل ہیں جو کمزوریوں کی نشاندہی کرتے ہیں، جو اس کے بعد دیکھ بھال کرنے والوں اور ڈیولپرز کو بتائے جائیں گے، جو اس مسئلے کو ظاہر کرنے کے وقت میں ہم آہنگی پیدا کریں گے، اور منحصر پروجیکٹس کو ورژن انسٹال کرنے کے لیے مطلع کریں گے۔ ڈیٹا بیس میں CodeQL ٹیمپلیٹس ہوں گے تاکہ GitHub پر موجود کوڈ میں حل شدہ مسائل کو دوبارہ ظاہر ہونے سے روکا جا سکے۔
GitHub انٹرفیس کے ذریعے آپ اب کر سکتے ہیں۔ شناخت شدہ مسئلہ کے لیے CVE شناخت کنندہ اور ایک رپورٹ تیار کرے گا، اور GitHub خود ضروری اطلاعات بھیجے گا اور ان کی مربوط اصلاح کو منظم کرے گا۔ مزید برآں، ایک بار مسئلہ حل ہونے کے بعد، GitHub متاثرہ پروجیکٹ سے وابستہ انحصار کو اپ ڈیٹ کرنے کے لیے خود بخود پل کی درخواستیں جمع کرائے گا۔
GitHub نے خطرات کی ایک فہرست بھی شامل کی ہے۔ ، جو GitHub پر پروجیکٹس کو متاثر کرنے والی کمزوریوں کے بارے میں معلومات اور متاثرہ پیکجوں اور ریپوزٹریوں کو ٹریک کرنے کی معلومات شائع کرتا ہے۔ GitHub پر تبصروں میں ذکر کردہ CVE شناخت کنندگان اب خود بخود جمع شدہ ڈیٹا بیس میں موجود خطرے کے بارے میں تفصیلی معلومات سے منسلک ہو جاتے ہیں۔ ڈیٹا بیس کے ساتھ کام کو خودکار کرنے کے لیے، ایک الگ .
اپ ڈیٹ کی بھی اطلاع ہے۔ کے خلاف حفاظت کے لئے عوامی طور پر قابل رسائی ذخیروں تک
حساس ڈیٹا جیسے تصدیقی ٹوکن اور رسائی کی چابیاں۔ کمٹ کے دوران، سکینر استعمال شدہ عام کلید اور ٹوکن فارمیٹس کو چیک کرتا ہے۔ بشمول Alibaba Cloud API، Amazon Web Services (AWS)، Azure، Google Cloud، Slack اور Stripe۔ اگر کسی ٹوکن کی شناخت ہو جاتی ہے، تو سروس فراہم کرنے والے کو ایک درخواست بھیجی جاتی ہے کہ وہ لیک ہونے کی تصدیق کرے اور سمجھوتہ شدہ ٹوکن کو منسوخ کرے۔ کل تک، پہلے سے تعاون یافتہ فارمیٹس کے علاوہ، GoCardless، HashiCorp، پوسٹ مین اور Tencent ٹوکنز کی وضاحت کے لیے تعاون شامل کر دیا گیا ہے۔
ماخذ: opennet.ru