GitHub上 具有主动性 旨在组织来自各个公司和组织的安全专家共同努力,识别开源项目代码中的漏洞并协助消除这些漏洞。
所有感兴趣的公司和个人计算机安全专家均可加入这项计划,以识别漏洞。 根据问题的严重程度和报告质量,最高可获得 3000 美元的奖励。我们建议您使用此工具提交问题信息。 CodeQL 允许您创建易受攻击代码的模板,以识别其他项目代码中是否存在类似的漏洞(CodeQL 允许您对代码进行语义分析并生成查询以搜索特定结构)。
该倡议已吸引了来自 F5、谷歌、HackerOne、英特尔、IOActive、摩根大通、LinkedIn、微软、Mozilla、NCC Group、甲骨文、Trail of Bits、Uber 等公司的安全研究人员加入。
VMware,在过去两年里 и Chromium、libssh2、内核等项目中存在 105 个漏洞 LinuxMemcached、UBoot、VLC、Apport、HHVM、Exiv2、FFmpeg、Fizz、libav、Ansible、npm、XNU、Ghostscript、Icecast、Apache Struts、strongSwan、Apache Ignite、rsyslog、Apache Geode 和 Hadoop。
GitHub 提出的代码安全生命周期要求 GitHub 安全实验室成员识别漏洞。这些问题随后将报告给维护者和开发者,由他们开发修复程序、协调披露时间,并通知依赖项目安装已修复的版本。数据库将包含 CodeQL 模板,以防止已修复的问题在 GitHub 托管的代码中再次出现。
您现在可以使用 GitHub 界面了。 提交已识别问题的 CVE 编号并准备一份报告,GitHub 将随后发送必要的通知并组织协调修复。此外,一旦问题解决,GitHub 将自动发送拉取请求以更新与存在漏洞的项目相关的依赖项。
GitHub还在其网站上添加了漏洞目录。 该网站发布影响 GitHub 项目的漏洞信息,以及用于跟踪受影响软件包和仓库的信息。GitHub 评论中提到的 CVE 标识符现在会自动链接到提供的数据库中详细的漏洞信息。此外,还引入了一个独立的工具来自动化数据库操作。 .
另有报道称有最新消息。 防止 到公开可用的存储库
敏感数据,例如身份验证令牌和访问密钥。在提交过程中,扫描器会检查所使用的典型密钥和令牌格式。 其中包括阿里云、亚马逊云服务 (AWS)、Azure、谷歌云、Slack 和 Stripe 的 API。如果检测到令牌泄露,系统会向服务提供商发送请求以确认泄露情况并撤销被盗用的令牌。截至昨日,除了之前支持的格式外,还新增了对 GoCardless、HashiCorp、Postman 和腾讯令牌的检测支持。
来源: opennet.ru
