في الامس، في مؤتمر GitHub Universe للمطورين، أعلنت GitHub أنها ستطلق برنامجًا جديدًا يهدف إلى تحسين أمان النظام البيئي مفتوح المصدر. البرنامج الجديد يسمى GitHub جيثب: مختبر الأمن وتمكن الباحثين في مجال الأمن من مجموعة متنوعة من الشركات من تحديد واستكشاف المشكلات الشائعة مفتوحة المصدر.
جميع الشركات المهتمة والمتخصصين في الأمن الحوسبة الفردية انت مدعو للانضمام إلى المبادرة التي باحثو الأمن من F5 و Google و HackerOne و Intel و IOActive و JP Morgan و LinkedIn و Microsoft و Mozilla و NCC Group و Oracle و Trail of Bits و Uber و VMWare, التي حددت وساعدت في تصحيح 105 نقاط ضعف في العامين الماضيين في مشاريع مثل Chromium و libssh2 و Linux kernel و Memcached و UBoot و VLC و Apport و HHVM و Exiv2 و FFmpeg و Fizz و libav و Ansible و npm و XNU و Ghostscript و Icecast و Apache Struts و strongSwan و Apache Ignite و rsyslog و Apache Geode و هادوب.
وقالت الشركة: "تتمثل مهمة Security Lab في إلهام مجتمع الأبحاث العالمي وتمكينه من تأمين رمز البرنامج".
دورة حياة الصيانة من أمان الكود الذي اقترحه GitHub يعني أن المشاركين في GitHub Security Lab سيحددون نقاط الضعف ، وبعد ذلك سيتم إرسال المعلومات المتعلقة بالمشكلات إلى المشرف والمطورين الذين سيحلون المشكلات ، ويتفقون على وقت الكشف عن المعلومات حول المشكلة ، وإبلاغ المشاريع التابعة بالحاجة إلى تثبيت الإصدار مع إزالة عالي التأثر.
أصدرت مايكروسوفت CodeQL ، الذي تم تطويره للعثور على نقاط الضعف في التعليمات البرمجية مفتوحة المصدر ، للاستخدام العام. ستستضيف قاعدة البيانات قوالب CodeQL لتجنب ظهور المشكلات التي تم إصلاحها في الكود الموجود على GitHub.
بالإضافة إلى ذلك ، أصبح GitHub مؤخرًا سلطة ترقيم معتمدة من CVE (CNA). هذا يعني أنه يمكن إصدار معرفات مكافحة التطرف العنيف لنقاط الضعف. تمت إضافة هذه الميزة إلى خدمة جديدة تسمى »إرشادات الأمان«.
من خلال واجهة GitHub ، يمكنك الحصول على معرف CVE للمشكلة المحددة وإعداد تقرير ، وسيقوم GitHub بإرسال الإخطارات اللازمة من تلقاء نفسه وترتيب تصحيحها المنسق. أيضًا ، بعد حل المشكلة ، سيرسل GitHub تلقائيًا طلبات سحب لتحديث التبعيات المرتبطة بالمشروع الضعيف.
الكثير معرفات CVE المذكورة في التعليقات على جيثب الآن تشير تلقائيًا إلى المعلومات التفصيلية حول الثغرة الأمنية في قاعدة البيانات المقدمة. لأتمتة العمل مع قاعدة البيانات ، تم اقتراح واجهة برمجة تطبيقات منفصلة.
GitHub جيثب: كما ظهرت أيضًا في كتالوج ثغرات قاعدة البيانات الاستشارية GitHub ، الذي ينشر معلومات حول نقاط الضعف التي تؤثر على مشاريع GitHub ومعلومات لتتبع الحزم والمستودعات المعرضة للخطر. اسم قاعدة بيانات الاستشارات الأمنية التي ستكون على GitHub ستكون قاعدة بيانات GitHub الاستشارية.
كما أبلغت عن تحديث خدمة الحماية ضد الحصول على معلومات سرية ، مثل رموز المصادقة ومفاتيح الوصول ، في مستودع الوصول العام.
أثناء التأكيد ، يتحقق الماسح الضوئي من تنسيقات المفاتيح والرموز النموذجية المستخدمة من قبل 20 من موفري الخدمات السحابية والخدمات ، بما في ذلك Alibaba Cloud API و Amazon Web Services (AWS) و Azure و Google Cloud و Slack و Stripe. إذا تم اكتشاف رمز مميز ، فسيتم إرسال طلب إلى مزود الخدمة لتأكيد التسرب وإلغاء الرموز المميزة المخترقة. منذ يوم أمس ، بالإضافة إلى التنسيقات المدعومة سابقًا ، تمت إضافة الدعم لتحديد رموز GoCardless و HashiCorp و Postman و Tencent
لتحديد الثغرات الأمنية ، يتم توفير رسوم تصل إلى 3,000 دولار ، حسب خطورة المشكلة ونوعية إعداد التقرير.
وفقًا للشركة ، يجب أن تحتوي تقارير الأخطاء على استعلام CodeQL الذي يسمح بإنشاء قالب كود ضعيف للكشف عن وجود ثغرة أمنية مماثلة في كود المشاريع الأخرى (يسمح CodeQL بالتحليل الدلالي للكود واستعلامات النموذج للبحث عن الهياكل محدد).