GitHub Security Lab ашық бағдарламалық жасақтаманың осалдығын анықтайтын жоба

github-қауіпсіздік-зертханалық-хедж

 

Кеше, GitHub Universe конференциясында әзірлеушілер үшін, GitHub ашық экожүйенің қауіпсіздігін жақсартуға бағытталған жаңа бағдарламаны бастайтынын мәлімдеді. Жаңа бағдарлама деп аталады GitHub Қауіпсіздік зертханасы және бұл әр түрлі компаниялардың қауіпсіздік зерттеушілеріне танымал бастапқы код жобаларын анықтауға және оларды жоюға мүмкіндік береді.

барлық мүдделі компаниялар мен қауіпсіздік мамандары жеке есептеу сіз шақырылдыңыз бастамаға қосылу қауіпсіздік зерттеушілері F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber және VMWare, сияқты жобалардағы соңғы екі жылдағы 105 осалдығын анықтап, түзетуге көмектескен Chromium, libssh2, Linux ядросы, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode және.

«Қауіпсіздік зертханасының миссиясы - әлемдік ғылыми қауымдастыққа шабыттандыру және бағдарламалық кодты қорғауға мүмкіндік беру», - дейді компания.

Техникалық қызмет көрсетудің өмірлік циклі GitHub ұсынған кодтың қауіпсіздігі GitHub қауіпсіздік зертханасына қатысушылар осалдықтарды анықтайтынын білдіреді, осыдан кейін мәселелер туралы ақпарат техникалық қызмет көрсетушіге және мәселелерді шешетін әзірлеушілерге жеткізіледі, мәселе туралы ақпаратты қашан жариялау керектігі туралы келіседі және тәуелді жобаларға осалдықты жойып, нұсқаны орнату қажеттілігі туралы хабарлайды.

Microsoft шығарды Ашық бастапқы кодтағы осалдықтарды табу үшін әзірленген CodeQL, жалпыға ортақ пайдалану үшін. Деректер базасында GitHub-та бар кодтағы тұрақты мәселелердің пайда болуын болдырмау үшін CodeQL шаблондары орналастырылады.

Сонымен қатар, GitHub жақында CVE авторизацияланған нөмірлеу мекемесіне (CNA) айналды. Бұл осалдықтар үшін CVE идентификаторларын шығара алады дегенді білдіреді. Бұл функция «Қауіпсіздік кеңестері» деп аталатын жаңа қызметке қосылды.

GitHub интерфейсі арқылы сіз CVE идентификаторын ала аласыз анықталған проблема бойынша есепті дайындаңыз, ал GitHub қажетті хабарламаларды өздігінен жібереді және оларды келісілген түзетуді ұйымдастырады. Сондай-ақ, мәселені шешкеннен кейін, GitHub тәуелділікті жаңарту үшін автоматты түрде тарту сұраныстарын жібереді осал жобамен байланысты.

The CVE идентификаторлары GitHub-тағы түсініктемелерде айтылған енді осалдық туралы толық ақпаратқа автоматты түрде жүгініңіз ұсынылған мәліметтер базасында. Деректер базасымен жұмысты автоматтандыру үшін бөлек API ұсынылады.

GitHub сонымен қатар GitHub кеңес беретін мәліметтер қорының осалдықтар каталогы ұсынылды, ол GitHub жобаларына әсер ететін осалдықтар туралы және осал пакеттер мен репозитарийлер туралы ақпарат жариялайды. Қауіпсіздік бойынша консультациялар базасының атауы GitHub-та болатын GitHub кеңес беретін мәліметтер базасы болады.

Ол сондай-ақ аутентификация таңбалауыштары және кіру кілттері сияқты құпия ақпаратты алу үшін қорғаныс қызметінің жаңартылуы туралы жалпыға қол жетімді репозиторийде жаңартылғандығы туралы хабарлады.

Растау кезінде сканер 20 бұлтты провайдерлер мен қызметтер пайдаланатын типтік кілт пен таңбалауыш форматтарын тексереді, соның ішінде Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack және Stripe. Егер таңбалауыш анықталса, қызмет провайдеріне ағып кетуді растау және бұзылған белгілерді жою туралы сұрау жіберіледі. Кешеден бастап, бұрын қолдаулы форматтардан басқа, GoCardless, HashiCorp, Postman және Tencent таңбалауыштарын анықтауға қолдау қосылды

Осалдықтарды анықтау үшін 3,000 долларға дейінгі төлем көзделген, проблеманың қауіптілігіне және есепті дайындау сапасына байланысты.

Компанияның пікірінше, қателіктер туралы есептерде басқа жобалардың кодында ұқсас осалдықтың болуын анықтайтын осал код шаблонын құруға мүмкіндік беретін CodeQL сұранысы болуы керек (CodeQL кодты семантикалық талдауға мүмкіндік береді және арнайы құрылымдарды табу үшін сұраныстар жасайды).


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.