GitHub với sự chủ động , nhằm mục đích tổ chức sự hợp tác của các chuyên gia bảo mật từ các công ty và tổ chức khác nhau để xác định các lỗ hổng và hỗ trợ loại bỏ chúng trong mã của các dự án nguồn mở.
Tất cả các công ty quan tâm và các chuyên gia bảo mật máy tính cá nhân đều được mời tham gia sáng kiến này. Để xác định lỗ hổng trả phần thưởng lên tới 3000 USD, tùy thuộc vào mức độ nghiêm trọng của vấn đề và chất lượng của báo cáo. Chúng tôi khuyên bạn nên sử dụng bộ công cụ để gửi thông tin vấn đề. , cho phép bạn tạo mẫu mã dễ bị tấn công để xác định sự hiện diện của lỗ hổng tương tự trong mã của các dự án khác (CodeQL cho phép tiến hành phân tích ngữ nghĩa của mã và tạo truy vấn để tìm kiếm các cấu trúc nhất định).
Các nhà nghiên cứu bảo mật từ F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber và
VMWare, trong hai năm qua и 105 lỗ hổng trong các dự án như Chrome, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog , Apache Geode và Hadoop.
Vòng đời bảo mật mã được đề xuất của GitHub yêu cầu các thành viên Phòng thí nghiệm bảo mật GitHub xác định các lỗ hổng, sau đó sẽ được thông báo cho người bảo trì và nhà phát triển, những người sẽ phát triển các bản sửa lỗi, điều phối thời điểm tiết lộ vấn đề và thông báo cho các dự án phụ thuộc để cài đặt phiên bản nhằm loại bỏ lỗ hổng. Cơ sở dữ liệu sẽ chứa các mẫu CodeQL để ngăn chặn sự xuất hiện trở lại của các vấn đề đã được giải quyết trong mã hiện có trên GitHub.
Thông qua giao diện GitHub bây giờ bạn có thể Mã định danh CVE cho sự cố đã xác định và chuẩn bị báo cáo, đồng thời GitHub sẽ gửi các thông báo cần thiết và tổ chức phối hợp khắc phục. Hơn nữa, sau khi vấn đề được giải quyết, GitHub sẽ tự động gửi yêu cầu kéo để cập nhật các phần phụ thuộc liên quan đến dự án bị ảnh hưởng.
GitHub cũng đã thêm một danh sách các lỗ hổng , nơi công bố thông tin về các lỗ hổng ảnh hưởng đến các dự án trên GitHub và thông tin để theo dõi các gói và kho lưu trữ bị ảnh hưởng. Mã nhận dạng CVE được đề cập trong nhận xét trên GitHub hiện tự động liên kết đến thông tin chi tiết về lỗ hổng trong cơ sở dữ liệu đã gửi. Để tự động hóa công việc với cơ sở dữ liệu, một phần riêng biệt .
Cập nhật cũng được báo cáo để bảo vệ chống lại đến các kho lưu trữ có thể truy cập công khai
dữ liệu nhạy cảm như mã thông báo xác thực và khóa truy cập. Trong quá trình cam kết, máy quét sẽ kiểm tra các định dạng khóa và mã thông báo điển hình được sử dụng , bao gồm API đám mây của Alibaba, Dịch vụ web của Amazon (AWS), Azure, Google Cloud, Slack và Stripe. Nếu xác định được mã thông báo, yêu cầu sẽ được gửi đến nhà cung cấp dịch vụ để xác nhận rò rỉ và thu hồi mã thông báo bị xâm phạm. Kể từ hôm qua, ngoài các định dạng được hỗ trợ trước đó, hỗ trợ xác định mã thông báo GoCardless, HashiCorp, Postman và Tencent đã được thêm vào.
Nguồn: opennet.ru