Wingi, ing konferensi GitHub Universe kanggo pangembang, GitHub ngumumake bakal ngluncurake program anyar sing ditujokake kanggo ningkatake keamanan ekosistem sumber terbuka. Program anyar diarani GitHub Lab Keamanan lan nggawe peneliti keamanan saka macem-macem perusahaan kanggo ngenali lan ngatasi masalah proyek open source populer.
kabeh perusahaan sing kasengsem lan spesialis keamanan komputerisasi individu sampeyan diundang kanggo melu inisiatif sing peneliti keamanan saka F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber lan VMWare, sing wis ngidentifikasi lan mbantu mbenerake 105 kerentanan sajrone rong taun kepungkur ing proyek kayata Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode lan Hadoop.
"Misi Lab Keamanan yaiku menehi inspirasi lan ngaktifake komunitas riset global kanggo ngamanake kode program," ujare perusahaan kasebut.
Siklus pangopènan keamanan kode sing diusulake dening GitHub nuduhake manawa peserta Lab Keamanan GitHub bakal ngenali kerentanan, sawise informasi babagan masalah kasebut bakal dikomunikasikake karo para pengelola lan pangembang sing bakal ngrampungake masalah kasebut, setuju kapan arep nyampekano informasi babagan masalah kasebut, lan menehi informasi marang proyek-proyek sing gumantung kudu nginstal versi kanthi ngilangi kerentanan
Microsoft dirilis CodeQL, sing digawe kanggo nemokake kerentanan ing kode open source, kanggo panggunaan umum. Database bakal dadi tuan rumah template CodeQL supaya ora muncul maneh masalah sing tetep ana ing kode sing ana ing GitHub.
Kajaba iku, GitHub bubar dadi Otoritas Nomer Resmi (CNA). Iki tegese bisa ngetokake pengenal CVE kanggo kerentanan. Fitur iki wis ditambahake menyang layanan anyar sing diarani »Tips Keamanan«.
Liwat antarmuka GitHub, sampeyan bisa entuk pengenal CVE kanggo masalah sing diidentifikasi lan nyiyapake laporan, lan GitHub bakal ngirim kabar sing dibutuhake dhewe lan ngatur koreksi sing terkoordinasi. Uga, sawise ndandani masalah, GitHub kanthi otomatis bakal ngirim panjaluk narik kanggo nganyari ketergantungan digandhengake karo proyek sing rentan.
ing Pengenal CVE kasebut ing komentar ing GitHub saiki kanthi otomatis waca informasi rinci babagan kerentanan ing database sing diajukake. Kanggo ngotomatisasi karya karo basis data, disaranake API kapisah.
GitHub uga nampilake Katalog Kerentanan Database Advisory GitHub, sing nerbitake informasi babagan kerentanan sing nyebabake proyek GitHub lan informasi kanggo nglacak paket lan repositori sing rentan. Jeneng database konsultasi keamanan sing bakal ana ing GitHub bakal dadi Database Advisory GitHub.
Iki uga nglaporake nganyari layanan perlindungan supaya ora entuk informasi rahasia, kayata token otentikasi lan kunci akses, ing repositori akses publik.
Sajrone konfirmasi, scanner verifikasi format tombol lan token khas sing digunakake dening 20 panyedhiya lan layanan cloud, kalebu Cloud Cloud Alibaba, Layanan Web Amazon (AWS), Azure, Google Cloud, Slack, lan Stripe. Yen token dideteksi, panjaluk dikirim menyang panyedhiya layanan kanggo ngonfirmasi bocor lan mbatalake token sing kompromi. Wiwit wingi, saliyane format sing didhukung sadurunge, dhukungan ditambahake kanggo nemtokake token GoCardless, HashiCorp, Postman lan Tencent
Kanggo identifikasi kerentanan, diwenehake biaya nganti $ 3,000, gumantung saka bebaya masalah lan kualitas persiyapan laporan.
Miturut perusahaan kasebut, laporan bug kudu ngemot pitakon CodeQL sing ngidini nggawe template kode rentan kanggo ndeteksi anane kerentanan sing padha ing kode proyek liyane (CodeQL ngidini analisis semantik kode lan pitakon formulir kanggo nggoleki struktur khusus).
Dadi pisanan komentar