Jučer, na konferenciji GitHub Universe za programere, GitHub je najavio da će pokrenuti novi program usmjeren na poboljšanje sigurnosti ekosistema otvorenog koda. Novi program se zove GitHub Laboratorija sigurnosti i omogućava istraživačima sigurnosti iz raznih kompanija da identifikuju i rešavaju popularne projekte otvorenog koda.
sve zainteresovane kompanije i stručnjaci za sigurnost individualno računanje pozvani ste da se pridruže inicijativi kojoj istraživači sigurnosti iz F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber i VMWare, koji su identificirali i pomogli u ispravljanju 105 ranjivosti u posljednje dvije godine u projektima kao što su Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode i Hadoop.
"Misija Sigurnosnog laboratorija je nadahnuti i omogućiti globalnoj istraživačkoj zajednici da osigura programski kod", rekla je kompanija.
Životni ciklus održavanja sigurnosti koda koji je predložio GitHub podrazumijeva da će sudionici GitHub Security Laba identificirati ranjivosti, nakon čega će se informacije o problemima prenijeti održavaču i programerima koji će riješiti probleme, dogovoriti se kada će otkriti informacije o problemu i obavijestiti ovisne projekte o potrebi instaliranja verzije s uklanjanjem ranjivosti.
Microsoft objavio CodeQL, koji je razvijen za pronalaženje ranjivosti u otvorenom kodu, za javnu upotrebu. Baza podataka će ugostiti CodeQL predloške kako bi se izbjegla ponovna pojava fiksnih problema u kodu prisutnom na GitHub-u.
Uz to, GitHub je nedavno postao CVE ovlašteno tijelo za numeriranje (CNA). To znači da može izdati CVE identifikatore za ranjivosti. Ova je funkcija dodana novoj usluzi pod nazivom »Sigurnosni savjeti«.
Kroz GitHub sučelje možete dobiti CVE identifikator za identificirani problem i pripremiti izvještaj, a GitHub će sam poslati potrebne obavijesti i organizirati njihovu koordiniranu ispravku. Također, nakon rješavanja problema, GitHub će automatski poslati zahtjeve za povlačenje za ažuriranje zavisnosti povezan sa ranjivim projektom.
u CVE identifikatori spomenuto u komentarima na GitHub-u sada se automatski pozivaju na detaljne informacije o ranjivosti u dostavljenoj bazi podataka. Da bi se automatizirao rad s bazom podataka, predlaže se zasebni API.
GitHub također je sadržao GitHub Savjetodavni katalog ranjivosti baze podataka, koja objavljuje informacije o ranjivostima koje utječu na GitHub projekte i informacije za praćenje ranjivih paketa i spremišta. Ime baze podataka o sigurnosnom savjetovanju koja će biti na GitHub-u, bit će GitHub-ova savjetodavna baza podataka.
Takođe je izvijestio o ažuriranju usluge zaštite od dobivanja povjerljivih informacija, poput tokena za provjeru autentičnosti i pristupnih ključeva, u spremištu za javni pristup.
Tijekom potvrde skener provjerava tipične formate ključeva i tokena koje koristi 20 dobavljača i usluga u oblaku, uključujući API za Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack i Stripe. Ako se otkrije token, dobavljaču usluga šalje se zahtjev za potvrdu curenja i opoziv ugroženih tokena. Od jučer je, uz prethodno podržane formate, dodana i podrška za definiranje GoCardless, HashiCorp, Postman i Tencent tokena
Za identifikaciju ranjivosti predviđena je naknada do 3,000 USD, ovisno o opasnosti od problema i kvaliteti pripreme izvještaja.
Prema kompaniji, izvještaji o greškama moraju sadržavati CodeQL upit koji omogućava stvaranje ranjivog predloška koda za otkrivanje prisutnosti slične ranjivosti u kodu drugih projekata (CodeQL omogućava semantičku analizu koda i upite u obliku za traženje specifičnih struktura) .