GitHub上 具有主动性 ,旨在组织来自各个公司和组织的安全专家协作,识别开源项目代码中的漏洞并协助消除它们。
所有感兴趣的公司和个人计算机安全专家都受邀加入该计划。 用于识别漏洞 根据问题的严重程度和报告的质量,支付高达 3000 美元的奖励。 我们建议使用工具包提交问题信息。 ,它允许您生成易受攻击代码的模板,以识别其他项目代码中是否存在类似漏洞(CodeQL 可以对代码进行语义分析并生成查询以搜索某些结构)。
来自 F5、Google、HackerOne、Intel、IOActive、JP Morgan、LinkedIn、Microsoft、Mozilla、NCC Group、Oracle、Trail of Bits、Uber 和
VMWare,过去两年 и Chromium、libssh105、Linux kernel、Memcached、UBoot、VLC、Apport、HHVM、Exiv2、FFmpeg、Fizz、libav、Ansible、npm、XNU、Ghostscript、Icecast、Apache Struts、strongSwan、Apache Ignite、rsyslog 等项目中的 2 个漏洞、Apache Geode 和 Hadoop。
GitHub 提议的代码安全生命周期涉及 GitHub 安全实验室成员识别漏洞,然后将其传达给维护人员和开发人员,他们将开发修复程序,协调何时披露问题,并通知相关项目安装版本,以消除漏洞。 该数据库将包含 CodeQL 模板,以防止 GitHub 上的代码中再次出现已解决的问题。
通过 GitHub 界面,您现在可以 为所识别的问题提供 CVE 标识符并准备一份报告,而 GitHub 本身将发出必要的通知并组织他们协调纠正。 此外,一旦问题得到解决,GitHub 将自动提交拉取请求以更新与受影响项目相关的依赖项。
GitHub 还添加了漏洞列表 ,它发布有关影响 GitHub 上项目的漏洞的信息以及跟踪受影响的包和存储库的信息。 GitHub 上的评论中提到的 CVE 标识符现在会自动链接到所提交数据库中有关漏洞的详细信息。 为了自动化数据库工作,需要一个单独的 .
更新也有报道 防止 到可公开访问的存储库
敏感数据,例如身份验证令牌和访问密钥。 在提交期间,扫描器检查所使用的典型密钥和令牌格式 ,包括阿里云 API、亚马逊网络服务 (AWS)、Azure、Google Cloud、Slack 和 Stripe。 如果识别出令牌,则会向服务提供商发送请求以确认泄漏并撤销受损的令牌。 截至昨天,除了之前支持的格式外,还添加了对定义 GoCardless、HashiCorp、Postman 和腾讯代币的支持。
来源: opennet.ru