Eilen, GitHub Universe -konferenssissa kehittäjille, GitHub ilmoitti käynnistävänsä uuden ohjelman, jonka tarkoituksena on parantaa avoimen lähdekoodin ekosysteemin turvallisuutta. Uutta ohjelmaa kutsutaan GitHub Turvallisuuslaboratorio ja sen avulla useiden yritysten tietoturvatutkijat voivat tunnistaa ja ratkaista suosittuja avoimen lähdekoodin projekteja.
kaikki kiinnostuneet yritykset ja turvallisuusasiantuntijat henkilökohtainen laskenta sinut on kutsuttu liittyä aloitteeseen, johon Turkin tutkijat F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber ja VMWare, jotka ovat tunnistaneet ja auttaneet korjaamaan 105 haavoittuvuutta kahden viime vuoden aikana esimerkiksi Chromium, libssh2, Linux-ydin, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode ja Hadoop.
"Turvallisuuslaboratorion tehtävänä on inspiroida ja antaa globaalille tutkimusyhteisölle mahdollisuus suojata ohjelmakoodi", yritys sanoi.
Huollon elinkaari GitHubin ehdottaman koodin turvallisuudesta tarkoittaa, että GitHub Security Lab -käyttäjät tunnistavat haavoittuvuudet, jonka jälkeen tiedot ongelmista välitetään ylläpitäjälle ja kehittäjille, jotka ratkaisevat ongelmat, sopivat milloin asiasta tiedotetaan ja ilmoittavat riippuvaisille projekteille version asennuksen tarpeesta poistamalla haavoittuvuus.
Microsoft julkaisi CodeQL, joka on kehitetty löytämään avoimen lähdekoodin haavoittuvuuksia julkiseen käyttöön. Tietokanta isännöi CodeQL-malleja, jotta vältetään kiinteiden ongelmien ilmestyminen uudelleen GitHubissa olevaan koodiin.
Lisäksi GitHubista on äskettäin tullut CVE-valtuutettu numerointiviranomainen (CNA). Tämä tarkoittaa, että se voi antaa haavoittuvuuksia varten CVE-tunnisteita. Tämä ominaisuus on lisätty uuteen palveluun nimeltä »Security Tips«.
GitHub-käyttöliittymän kautta saat CVE-tunnuksen havaitusta ongelmasta ja valmistele raportti, ja GitHub lähettää tarvittavat ilmoitukset yksin ja järjestää niiden koordinoidut korjaukset. Lisäksi ongelman korjaamisen jälkeen GitHub lähettää automaattisesti vetopyyntöjä riippuvuuksien päivittämiseksi liittyy haavoittuvaan hankkeeseen.
Los CVE-tunnisteet mainittu GitHubin kommenteissa viittaavat nyt automaattisesti haavoittuvuutta koskeviin yksityiskohtaisiin tietoihin toimitetussa tietokannassa. Tietokannan kanssa tehtävän työn automatisoimiseksi ehdotetaan erillistä sovellusliittymää.
GitHub mukana myös GitHub Advisory Database -heikkousluettelo, joka julkaisee tietoja GitHub-projekteihin vaikuttavista haavoittuvuuksista sekä tietoja haavoittuvien pakettien ja arkistojen jäljittämiseksi. Tietoturvakonsultoinnin tietokannan nimi joka on GitHubissa, on GitHub Advisory Database.
Se ilmoitti myös suojauspalvelun päivityksestä luottamuksellisten tietojen, kuten todennustunnusten ja käyttöavainten, saamiseksi julkisen pääsyn tietovarastoon.
Vahvistuksen aikana skanneri tarkistaa tyypilliset avaimen ja tunnuksen muodot, joita 20 pilvipalvelujen tarjoajaa ja palvelua käyttää Alibaba Cloud -sovellusliittymä, Amazon Web Services (AWS), Azure, Google Cloud, Slack ja Stripe. Jos tunniste havaitaan, palveluntarjoajalle lähetetään pyyntö vahvistaa vuoto ja peruuttaa vaarantuneet tunnukset. Eilisestä lähtien aiemmin tuettujen muotojen lisäksi on lisätty tuki GoCardless-, HashiCorp-, Postman- ja Tencent-tunnusten määrittelylle
Haavoittuvuuden tunnistamisesta peritään enintään 3,000 dollarin maksu, ongelman vaarasta ja raportin valmistelun laadusta riippuen.
Yrityksen mukaan virheraporttien on sisällettävä CodeQL-kysely, joka mahdollistaa haavoittuvan koodimallin luomisen havaitsemaan samanlaisen haavoittuvuuden muiden projektien koodissa (CodeQL sallii koodin semanttisen analyysin ja lomakehakut rakenteiden etsimiseen erityinen).