看来GitHub管理层正在认真思考软件安全问题。 首先在斯瓦尔巴群岛有一个数据仓库 对开发商的财政支持。 现在 GitHub 安全实验室计划,其中涉及所有感兴趣的专家参与提高开源软件的安全性。
F5、Google、HackerOne、英特尔、IOActive、摩根大通、LinkedIn、微软、Mozilla、NCC Group、Oracle、Trail of Bits、Uber 和 VMWare 已参与该计划。 过去两年,他们帮助识别并消除了多个项目中的 105 个漏洞。
其他参与者承诺针对发现的漏洞提供高达 3000 美元的奖励。 GitHub 界面已经能够获取问题的 CVE 标识符并创建有关该问题的报告。 已启动漏洞目录 ,包含有关 GitHub 上托管的应用程序问题、易受攻击的包等的信息。
此外,系统中已经添加了更新的保护,这确保了个人和机密数据(例如令牌、密钥等)最终不会出现在公共存储库中。 据称,该系统自动扫描来自 20 个服务和云系统的关键格式。 如果检测到问题,则会向服务提供商发送请求以确认问题并撤销受损的密钥。
请注意,GitHub 之前已被 Microsoft 收购。 雷德蒙德似乎已经决定认真对待数据安全问题。
来源: 3dnews.ru