Вчера, на конференцията GitHub Universe за разработчици, GitHub обяви, че ще стартира нова програма, насочена към подобряване на сигурността на екосистемата с отворен код. Извиква се новата програма GitHub Лаборатория за сигурност и позволява на изследователите по сигурността от различни компании да идентифицират и отстраняват популярни проекти с отворен код.
всички заинтересовани компании и специалисти по сигурността индивидуални изчисления Вие сте поканени да се присъедини към инициативата, към която изследователи по сигурността от F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber и VMWare, които са идентифицирали и помогнали за коригирането на 105 уязвимости през последните две години в проекти като Chromium, libssh2, ядро на Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode и Hadoop.
„Мисията на лабораторията за сигурност е да вдъхнови и да даде възможност на глобалната изследователска общност да осигури програмния код“, казаха от компанията.
Животният цикъл на поддръжка на сигурността на кода, предложен от GitHub предполага, че участниците в GitHub Security Lab ще идентифицират уязвимости, след което информацията за проблемите ще бъде съобщена на поддържащия и разработчиците, които ще разрешат проблемите, ще се споразумеят кога да разкрият информация за проблема и ще информират зависимите проекти за необходимостта от инсталиране на версията с премахване на уязвимост.
Microsoft пусна CodeQL, разработен за откриване на уязвимости в отворен код за обществено ползване. Базата данни ще хоства шаблони на CodeQL, за да се избегне повторното появяване на фиксирани проблеми в кода, присъстващ на GitHub.
Освен това GitHub наскоро се превърна в CVE оторизиран орган за номериране (CNA). Това означава, че може да издава идентификатори на CVE за уязвимости. Тази функция е добавена към нова услуга, наречена »Съвети за сигурност«.
Чрез интерфейса GitHub можете да получите CVE идентификатора за установения проблем и ще подготви доклад, а GitHub ще изпрати необходимите известия самостоятелно и ще организира тяхната координирана корекция. Също така, след отстраняване на проблема, GitHub автоматично ще изпраща заявки за изтегляне за актуализиране на зависимости свързани с уязвимия проект.
Лос Идентификатори на CVE споменати в коментарите на GitHub сега автоматично се обърнете към подробна информация за уязвимостта в подадената база данни. За автоматизиране на работата с базата данни се предлага отделен API.
GitHub също представи GitHub Advisory Database уязвимости Каталог, която публикува информация за уязвимости, засягащи проектите на GitHub и информация за проследяване на уязвими пакети и хранилища. Името на базата данни за консултации по сигурността която ще бъде на GitHub ще бъде GitHub Advisory Database.
Той също така докладва за актуализацията на услугата за защита срещу получаване на поверителна информация, като маркери за удостоверяване и ключове за достъп, в хранилище за публичен достъп.
По време на потвърждението скенерът проверява типичните формати на ключове и символи, използвани от 20 доставчици и услуги в облака, включително API за облак Alibaba, Amazon Web Services (AWS), Azure, Google Cloud, Slack и Stripe. Ако се открие токен, се изпраща заявка до доставчика на услуги, за да се потвърди изтичането и да се отменят компрометираните маркери. От вчера, в допълнение към поддържаните досега формати, бе добавена поддръжка за дефиниране на GoCardless, HashiCorp, Postman и Tencent
За идентификация на уязвимост се предоставя такса до $ 3,000, в зависимост от опасността от проблема и качеството на изготвянето на доклада.
Според компанията отчетите за грешки трябва да съдържат заявка на CodeQL, която позволява създаването на уязвим шаблон на код, за да се открие наличието на подобна уязвимост в кода на други проекти (CodeQL позволява семантичен анализ на кода и заявки за форми за търсене на структури специфични).