آزمایشگاه امنیتی GitHub پروژه ای برای شناسایی آسیب پذیری های نرم افزار منبع باز است

github-security-lab-hed

 

دیروز، در کنفرانس GitHub Universe برای توسعه دهندگان ، GitHub اعلام کرد که برنامه جدیدی را با هدف بهبود امنیت اکوسیستم منبع باز راه اندازی می کند. برنامه جدید نامیده می شود GitHub آزمایشگاه امنیت و محققان امنیتی را از شرکتهای مختلف قادر می سازد پروژه های منبع باز محبوب را شناسایی و عیب یابی کنند.

همه شرکت های علاقه مند و متخصصان امنیتی محاسبات فردی شما دعوت شده اید برای پیوستن به ابتکاری که محققان امنیتی از F5 ، Google ، HackerOne ، Intel ، IOActive ، JP Morgan ، LinkedIn ، Microsoft ، Mozilla ، NCC Group ، Oracle ، Trail of Bits ، Uber و VMWare, که 105 آسیب پذیری را در دو سال گذشته در پروژه هایی از جمله شناسایی و کمک کرده است Chromium ، libssh2 ، هسته لینوکس ، Memcached ، UBoot ، VLC ، Apport ، HHVM ، Exiv2 ، FFmpeg ، Fizz ، libav ، Ansible ، npm ، XNU ، Ghostscript ، Icecast ، Apache Struts ، strongSwan ، Apache Ignite ، rsyslog ، Apache Geode و هادوپ

این شرکت گفت: "ماموریت آزمایشگاه امنیت الهام بخشیدن و توانمند ساختن جامعه تحقیقاتی جهانی برای ایمن سازی کد برنامه است."

چرخه عمر نگهداری امنیت کد پیشنهادی GitHub به این معنی است که شرکت کنندگان آزمایشگاه امنیتی GitHub آسیب پذیری ها را شناسایی می کنند ، پس از آن اطلاعات مربوط به مشکلات به نگهدارنده و توسعه دهندگانی که مشکلات را برطرف می کنند ، منتقل می شود ، در مورد زمان افشای اطلاعات مربوط به این موضوع توافق می کنند و پروژه های وابسته را در مورد نیاز به نصب نسخه با حذف آسیب پذیری

مایکروسافت منتشر شد CodeQL ، که برای یافتن آسیب پذیری در کد منبع باز ، برای استفاده عمومی ساخته شده است. این پایگاه داده میزبان الگوهای CodeQL خواهد بود تا از بروز مجدد مسائل ثابت در کد موجود در GitHub جلوگیری کند.

علاوه بر این ، GitHub اخیراً به یک مرجع شماره گذاری مجاز CVE (CNA) تبدیل شده است. این بدان معنی است که می تواند شناسه های CVE را برای آسیب پذیری ها صادر کند. این ویژگی به سرویس جدیدی با عنوان »نکات امنیتی« اضافه شده است.

از طریق رابط GitHub می توانید شناسه CVE را بدست آورید برای مشکل شناسایی شده و گزارش تهیه کنید ، و GitHub اعلان های لازم را به تنهایی ارسال می کند و اصلاحات هماهنگ شده آنها را ترتیب می دهد. همچنین ، پس از رفع مشکل ، GitHub به طور خودکار درخواستهای pull را برای به روزرسانی وابستگی ها ارسال می کند مرتبط با پروژه آسیب پذیر

ل شناسه های CVE در نظرات GitHub ذکر شده است اکنون به طور خودکار به اطلاعات دقیق آسیب پذیری مراجعه کنید در پایگاه داده ارسالی برای خودکار کردن کار با پایگاه داده ، یک API جداگانه پیشنهاد شده است.

GitHub همچنین شامل کاتالوگ آسیب پذیری پایگاه داده مشاوره ای GitHub ، که اطلاعات مربوط به آسیب پذیری های تأثیرگذار بر پروژه های GitHub و اطلاعاتی را برای ردیابی بسته ها و مخازن آسیب پذیر منتشر می کند. نام پایگاه داده مشاوره امنیتی که در GitHub خواهد بود ، پایگاه مشاوره GitHub خواهد بود.

وی همچنین از بروزرسانی سرویس حفاظت در برابر به دست آوردن اطلاعات محرمانه مانند نشانه های احراز هویت و کلیدهای دسترسی در یک مخزن قابل دسترسی عمومی خبر داد.

در حین تأیید ، اسکنر قالب های کلیدی و نشانه ای را که توسط 20 ارائه دهنده و خدمات ابری استفاده می شوند ، از جمله تأیید می کند Alibaba Cloud API ، خدمات وب آمازون (AWS) ، Azure ، Google Cloud ، Slack و Stripe. در صورت شناسایی رمز ، درخواستی برای تأیید درز و لغو رمزهای به خطر افتاده به ارائه دهنده خدمات ارسال می شود. از دیروز علاوه بر قالب های پشتیبانی شده قبلی ، پشتیبانی برای تعریف رمزهای GoCardless ، HashiCorp ، Postman و Tencent نیز اضافه شده است

برای شناسایی آسیب پذیری ، هزینه ای تا 3,000 دلار در نظر گرفته شده است ، بستگی به خطر مشکل و کیفیت تهیه گزارش دارد.

طبق گفته این شرکت ، گزارشات اشکال باید حاوی یک پرس و جو CodeQL باشد که به شما امکان ایجاد یک الگوی کد آسیب پذیر را برای تشخیص وجود یک آسیب پذیری مشابه در کد سایر پروژه ها می دهد (CodeQL اجازه می دهد تا تجزیه و تحلیل معنایی کد و فرم های جستجو برای جستجوی ساختارها را ایجاد کند) خاص)


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.