GitHub Security Lab-ek kode irekiko softwarearen ahultasunak identifikatzeko proiektua

github-security-lab-hed

 

Atzo, GitHub Universe konferentzian garatzaileentzat, GitHub-ek jakinarazi du iturri irekiko ekosistemaren segurtasuna hobetzera bideratutako programa berria jarriko duela abian. Programa berria deitzen da GitHub Segurtasun Lab eta hainbat konpainiatako segurtasun ikertzaileei aukera ematen die kode irekiko proiektu ezagunak identifikatu eta konpontzeko.

guztiak interesa duten enpresak eta segurtasun espezialistak banakako informatika gonbidatuta zaude zein ekimenekin bat egin segurtasuneko ikertzaileak F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber eta VMWare, bezalako proiektuetan azken bi urteetan 105 ahultasun identifikatu eta zuzentzen lagundu dutenak Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode eta Hadoop.

"Segurtasun Laborategiaren eginkizuna da mundu osoko ikerketa komunitateak programa kodea ziurtatzea inspiratzea eta ahalbidetzea", esan du konpainiak.

Mantentze-lanen zikloa GitHub-ek proposatutako kodearen segurtasunarena GitHub Security Lab-eko partaideek ahultasunak identifikatuko dituztela esan nahi du horren ondoren, arazoei buruzko informazioa komunikatuko zaie arazoak konponduko dituzten mantentzaileari eta garatzaileei, ados egongo da arazoari buruzko informazioa noiz eman behar duten aditzera eta mendeko proiektuei bertsioa instalatzeko beharra jakinaraziko diete. zaurgarritasuna.

Microsoft-ek kaleratu du CodeQL, iturburu irekiko kodean ahultasunak aurkitzeko garatu zen, erabilera publikorako. Datu-baseak CodeQL txantiloiak hartuko ditu GitHub-en dagoen kodean arazo finkoak berriro agertzea ekiditeko.

Gainera, GitHub duela gutxi CVE Baimendutako Zenbakitze Agintari (CNA) bihurtu da. Horrek esan nahi du ahultasunetarako CVE identifikatzaileak igorri ditzakeela. Funtzio hau »Segurtasun Aholkuak« izeneko zerbitzu berri bati gehitu zaio.

GitHub interfazearen bidez, CVE identifikatzailea lor dezakezu identifikatutako arazorako eta txostena prestatzeko, eta GitHub-ek bere kabuz beharrezko jakinarazpenak bidaliko ditu eta horien zuzenketa koordinatua antolatuko du. Gainera, arazoa konpondu ondoren, GitHub-ek pull eskaerak automatikoki bidaliko ditu mendekotasunak eguneratzeko proiektu ahularekin lotuta.

The CVE identifikatzaileak GitHub-eko iruzkinetan aipatua orain automatikoki zaurgarritasunari buruzko informazio zehatza aipatzen da bidalitako datu basean. Datu basearekin lana automatizatzeko, API bereizi bat proposatzen da.

GitHub halaber, GitHub Aholkularitzako Datu-Basearen Ahultasun Katalogoa agertu da. GitHub proiektuetan eragina duten ahultasunen inguruko informazioa eta pakete eta biltegi zaurgarriak jarraitzeko informazioa argitaratzen duena. Segurtasuna kontsultatzeko datu basearen izena hori GitHub-en egongo da GitHub Advisory Database.

Halaber, informazio konfidentziala (hala nola, autentifikazio tokenak eta sarbide gakoak) eskuratzearen aurkako babes zerbitzuaren eguneratzearen berri eman du publikoki eskuragarri dagoen biltegi batean.

Berrespenean, eskanerrak 20 hodei hornitzaile eta zerbitzuk erabiltzen dituzten gako eta token formatu tipikoak egiaztatzen ditu, besteak beste Alibaba Cloud APIa, Amazon Web Services (AWS), Azure, Google Cloud, Slack eta Stripe. Token bat antzematen bada, eskaera bat bidaltzen zaio zerbitzu hornitzaileari ihesa berresteko eta arriskuan dauden tokenak ezeztatzeko. Atzotik, aurrez onartutako formatuez gain, GoCardless, HashiCorp, Postman eta Tencent tokenak definitzeko laguntza gehitu da.

Ahultasuna identifikatzeko, 3,000 $ arteko kuota ematen da, arazoaren arriskuaren eta txostena prestatzearen kalitatearen arabera.

Konpainiaren arabera, akatsen txostenek CodeQL kontsulta bat eduki behar dute, beste proiektu batzuen kodean antzeko zaurgarritasuna dagoela antzemateko kode txantiloi ahul bat sortzea ahalbidetzen duena. zehatzak).


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.