Có vẻ như ban quản lý GitHub đang suy nghĩ nghiêm túc về vấn đề bảo mật phần mềm. Đầu tiên có một kho dữ liệu ở Svalbard và hỗ trợ tài chính cho các nhà phát triển. Và bây giờ sáng kiến Phòng thí nghiệm bảo mật GitHub, trong đó có sự tham gia của tất cả các chuyên gia quan tâm đến việc cải thiện tính bảo mật của phần mềm nguồn mở.
F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber và VMWare đã tham gia sáng kiến này. Trong hai năm qua, họ đã giúp xác định và loại bỏ 105 lỗ hổng trong một số dự án.
Những người tham gia khác được hứa thưởng lên tới 3000 USD cho những lỗ hổng được xác định. Giao diện GitHub đã có khả năng lấy mã định danh CVE cho một sự cố và tạo báo cáo về sự cố đó. Một danh mục các lỗ hổng đã được đưa ra , chứa thông tin về các sự cố với ứng dụng được lưu trữ trên GitHub, các gói dễ bị tấn công, v.v.
Ngoài ra, tính năng bảo vệ cập nhật đã được thêm vào hệ thống, đảm bảo rằng dữ liệu cá nhân và bí mật, chẳng hạn như mã thông báo, khóa và những thứ tương tự, không xuất hiện trong kho lưu trữ công khai. Bị cáo buộc, hệ thống này tự động quét các định dạng chính từ 20 dịch vụ và hệ thống đám mây. Nếu phát hiện sự cố, yêu cầu sẽ được gửi đến nhà cung cấp dịch vụ để xác nhận sự cố và thu hồi các khóa bị xâm phạm.
Lưu ý rằng GitHub trước đây đã được Microsoft mua lại. Có vẻ như Redmond đã quyết định coi trọng vấn đề bảo mật dữ liệu.
Nguồn: 3dnews.ru
