I går, på GitHub Universe-konferencen til udviklere, GitHub meddelte, at det vil lancere et nyt program, der sigter mod at forbedre open source-økosystemets sikkerhed. Det nye program kaldes GitHub Sikkerhedslaboratorium og det giver sikkerhedsforskere fra en række virksomheder mulighed for at identificere og foretage fejlfinding af populære open source-projekter.
alle interesserede virksomheder og sikkerhedsspecialister individuel databehandling du er inviteret at deltage i det initiativ, som sikkerhedsforskere fra F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber og VMWare, der har identificeret og hjulpet med at rette 105 sårbarheder i de sidste to år i projekter som f.eks Chrom, libssh2, Linux-kerne, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode og Hadoop.
”Security Labs mission er at inspirere og sætte det globale forskningsmiljø i stand til at sikre programkoden,” sagde virksomheden.
Vedligeholdelses livscyklus af sikkerheden i den kode, der er foreslået af GitHub indebærer, at GitHub Security Lab-deltagere vil identificere sårbarheder, hvorefter oplysningerne om problemerne meddeles til vedligeholderen og udviklere, der løser problemerne, er enige om, hvornår de skal videregive oplysninger om problemet, og informerer afhængige projekter om behovet for at installere versionen med fjernelse af sårbarhed.
Microsoft frigivet CodeQL, som blev udviklet til at finde sårbarheder i open source-kode til offentlig brug. Databasen er vært for CodeQL-skabeloner for at undgå, at faste problemer vises igen i den kode, der findes på GitHub.
Derudover er GitHub for nylig blevet en CVE Authorized Numbering Authority (CNA). Dette betyder, at det kan udstede CVE-identifikatorer for sårbarheder. Denne funktion er blevet føjet til en ny tjeneste kaldet »Sikkerhedstip«.
Via GitHub-grænsefladen kan du få CVE-identifikatoren til det identificerede problem og udarbejde en rapport, og GitHub sender de nødvendige meddelelser alene og arrangerer deres koordinerede rettelse. Efter at have løst problemet, GitHub sender automatisk pullanmodninger for at opdatere afhængigheder forbundet med det sårbare projekt.
masse CVE-identifikatorer nævnt i kommentarerne på GitHub henviser nu automatisk til detaljerede oplysninger om sårbarheden i den indsendte database. For at automatisere arbejde med databasen foreslås en separat API.
GitHub også med GitHub Advisory Database Vulnerabilities Catalog, der offentliggør oplysninger om sårbarheder, der påvirker GitHub-projekter, og information til sporing af sårbare pakker og opbevaringssteder. Navnet på databasen med sikkerhedsrådgivning der vil være på GitHub vil være GitHub Advisory Database.
Han rapporterede også opdateringen af beskyttelsestjenesten mod at få fortrolige oplysninger, såsom godkendelsestokens og adgangsnøgler, i et offentligt tilgængeligt lager.
Under bekræftelsen verificerer scanneren typiske nøgle- og tokenformater, der bruges af 20 skyudbydere og -tjenester, inklusive Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack og Stripe. Hvis der registreres et token, sendes en anmodning til tjenesteudbyderen for at bekræfte lækagen og tilbagekalde de kompromitterede tokens. Siden i går er der ud over de tidligere understøttede formater tilføjet support til at definere GoCardless, HashiCorp, Postman og Tencent tokens
For identifikation af sårbarhed er der et gebyr på op til $ 3,000, afhængigt af faren for problemet og kvaliteten af udarbejdelsen af rapporten.
Ifølge virksomheden skal bugrapporter indeholde en CodeQL-forespørgsel, der muliggør oprettelse af en sårbar kodeskabelon for at detektere tilstedeværelsen af en lignende sårbarhed i koden for andre projekter (CodeQL tillader semantisk analyse af koden og formularforespørgsler for at søge efter specifikke strukturer) .