GitHub上 具有主動性 ,旨在組織來自各個公司和組織的安全專家協作,識別開源專案程式碼中的漏洞並協助消除它們。
所有有興趣的公司和個人電腦安全專家都受邀加入該計劃。用於識別漏洞 根據問題的嚴重程度和報告的質量,支付高達 3000 美元的獎勵。我們建議使用工具包提交問題資訊。 ,它允許您產生易受攻擊程式碼的模板,以識別其他專案程式碼中是否存在類似漏洞(CodeQL 可以對程式碼進行語義分析並產生查詢以搜尋某些結構)。
來自 F5、Google、HackerOne、Intel、IOActive、J.P. 的安全研究人員已加入該計劃。摩根、LinkedIn、微軟、Mozilla、NCC Group、甲骨文、Trail of Bits、Uber 和
VMWare,過去兩年 и Chromium、libssh105、Linux kernel、Memcached、UBoot、VLC、Apport、HHVM、Exiv2、FFmpeg、Fizz、libav、Ansible、npm、XNU、Ghostscript、Icecast、Apache Struts、strongSwan、Apache Ignite、rsyslog 等項目中的2 個項目中的XNUMX 個項目漏洞、Apache Geode 和 Hadoop。
GitHub 提議的程式碼安全生命週期涉及 GitHub 安全實驗室成員識別漏洞,然後將其傳達給維護人員和開發人員,他們將開發修復程序,協調何時披露問題,並通知相關專案安裝版本,以消除漏洞。該資料庫將包含 CodeQL 模板,以防止 GitHub 上的程式碼中再次出現已解決的問題。
透過 GitHub 介面,您現在可以 為所識別的問題提供 CVE 識別碼並準備一份報告,而 GitHub 本身將發出必要的通知並組織他們協調糾正。此外,一旦問題解決,GitHub 將自動提交拉取請求以更新與受影響專案相關的依賴項。
GitHub 還新增了漏洞列表 ,它發布有關影響 GitHub 上專案的漏洞的資訊以及追蹤受影響的套件和儲存庫的資訊。 GitHub 上的評論中提到的 CVE 識別碼現在會自動連結到所提交資料庫中有關漏洞的詳細資訊。為了自動化資料庫的工作,需要一個單獨的 .
更新也有報導 防止 到可公開存取的儲存庫
敏感數據,例如身份驗證令牌和存取密鑰。在提交期間,掃描器檢查所使用的典型金鑰和令牌格式 ,包括阿里雲 API、亞馬遜網路服務 (AWS)、Azure、Google Cloud、Slack 和 Stripe。如果識別出令牌,則會向服務提供者發送請求以確認洩漏並撤銷受損的令牌。截至昨天,除了先前支援的格式外,還添加了定義 GoCardless、HashiCorp、Postman 和騰訊代幣的支援。
來源: opennet.ru