बिता कल, GitHub यूनिवर्स सम्मेलन में डेवलपर्स के लिए, GitHub ने घोषणा की कि यह खुले स्रोत पारिस्थितिकी तंत्र की सुरक्षा में सुधार के उद्देश्य से एक नया कार्यक्रम शुरू करेगा। नया कार्यक्रम कहा जाता है GitHub सुरक्षा लैब और यह विभिन्न कंपनियों के सुरक्षा शोधकर्ताओं को लोकप्रिय ओपन सोर्स प्रोजेक्ट्स की पहचान करने और उनका निवारण करने में सक्षम बनाता है।
सब इच्छुक कंपनियां और सुरक्षा विशेषज्ञ व्यक्तिगत कंप्यूटिंग आप आमंत्रित है किस पहल से जुड़ना है से सुरक्षा शोधकर्ताओं F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber और VMWare, इस तरह की परियोजनाओं में पिछले दो वर्षों में 105 कमजोरियों को पहचानने और सही करने में मदद की है क्रोमियम, libssh2, Linux कर्नेल, मेम्केच्ड, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, घोस्टस्क्रिप्ट, आइसकास्ट, Apache स्ट्रट्स, स्ट्रांगवान, Apache इग्नाइट, rsyslog, Apodelog, Apode Geode Hadoop।
"सुरक्षा लैब का मिशन वैश्विक अनुसंधान समुदाय को प्रोग्राम कोड को सुरक्षित करने के लिए प्रेरित और सक्षम करना है," कंपनी ने कहा।
अनुरक्षण जीवन चक्र GitHub द्वारा प्रस्तावित कोड की सुरक्षा तात्पर्य है कि GitHub Security Lab प्रतिभागी कमजोरियों की पहचान करेगा, जिसके बाद मुद्दों के बारे में जानकारी रखरखावकर्ता और डेवलपर्स को सूचित की जाएगी जो मुद्दों को हल करेंगे, इस मुद्दे पर जानकारी का खुलासा करने पर सहमत होंगे, और हटाने के साथ संस्करण को स्थापित करने की आवश्यकता के बारे में आश्रित परियोजनाओं को सूचित करेंगे भेद्यता।
माइक्रोसॉफ्ट ने जारी किया सार्वजनिक उपयोग के लिए ओपन सोर्स कोड में कमजोरियों को खोजने के लिए विकसित किया गया कोडकलाइन। डेटाबेस GitHub पर मौजूद कोड में निश्चित मुद्दों की पुनरावृत्ति से बचने के लिए CodeQL टेम्पलेट्स की मेजबानी करेगा।
इसके अतिरिक्त, GitHub हाल ही में CVE अधिकृत नंबरिंग प्राधिकरण (CNA) बन गया है। इसका मतलब है कि यह कमजोरियों के लिए सीवीई पहचानकर्ता जारी कर सकता है। इस सुविधा को एक नई सेवा में जोड़ा गया है जिसका नाम है »सुरक्षा युक्तियां«।
GitHub इंटरफ़ेस के माध्यम से, आप CVE पहचानकर्ता प्राप्त कर सकते हैं पहचानी गई समस्या के लिए और एक रिपोर्ट तैयार करें, और GitHub अपने आप आवश्यक सूचनाएं भेजेगा और उनके समन्वित सुधार की व्यवस्था करेगा। साथ ही, समस्या को ठीक करने के बाद, GitHub स्वचालित रूप से निर्भरता अपडेट करने के लिए पुल अनुरोध भेजेगा कमजोर परियोजना से जुड़े।
L सीवीई पहचानकर्ता GitHub पर टिप्पणियों में उल्लेख किया गया है अब स्वचालित रूप से भेद्यता के बारे में विस्तृत जानकारी देखें प्रस्तुत डेटाबेस में। डेटाबेस के साथ काम को स्वचालित करने के लिए, एक अलग एपीआई प्रस्तावित है।
GitHub GitHub सलाहकार डेटाबेस कमजोरियों की सूची को भी चित्रित किया, जो GitHub परियोजनाओं को प्रभावित करने वाली कमजोरियों के बारे में जानकारी प्रकाशित करता है और कमजोर पैकेज और रिपॉजिटरी को ट्रैक करने के लिए जानकारी को प्रकाशित करता है। सुरक्षा परामर्श डेटाबेस का नाम यह GitHub पर होगा GitHub सलाहकार डेटाबेस होगा।
उन्होंने सार्वजनिक रूप से सुलभ रिपॉजिटरी में प्रमाणीकरण टोकन और एक्सेस कुंजियों जैसी गोपनीय जानकारी प्राप्त करने के खिलाफ सुरक्षा सेवा के अद्यतन की रिपोर्ट की।
पुष्टि के दौरान, स्कैनर 20 क्लाउड प्रदाताओं और सेवाओं द्वारा उपयोग किए जाने वाले विशिष्ट कुंजी और टोकन स्वरूपों की पुष्टि करता है, जिसमें शामिल हैं अलीबाबा क्लाउड एपीआई, अमेज़ॅन वेब सर्विसेज (एडब्ल्यूएस), एज़्योर, गूगल क्लाउड, स्लैक और स्ट्राइप। यदि एक टोकन का पता चला है, तो सेवा प्रदाता को रिसाव की पुष्टि करने और समझौता किए गए टोकन को रद्द करने के लिए भेजा जाता है। कल से, पहले से समर्थित प्रारूपों के अलावा, GoCardless, HashiCorp, Postman और Tencent टोकन को परिभाषित करने के लिए समर्थन जोड़ा गया है।
भेद्यता पहचान के लिए, $ 3,000 तक का शुल्क प्रदान किया जाता है, समस्या के खतरे और रिपोर्ट तैयार करने की गुणवत्ता पर निर्भर करता है।
कंपनी के अनुसार, बग रिपोर्ट में कोडकॉल क्वेरी होनी चाहिए जो अन्य प्रोजेक्ट्स के कोड में समान भेद्यता की उपस्थिति का पता लगाने के लिए एक असुरक्षित कोड टेम्प्लेट बनाने की अनुमति देती है (CodeQL कोड के अर्थ विश्लेषण और संरचनाओं के लिए खोज करने के लिए क्वेरीज़ बनाने की अनुमति देता है विशिष्ट)।