어제, GitHub Universe 컨퍼런스에서 개발자를 위해 GitHub는 오픈 소스 생태계의 보안을 개선하기위한 새로운 프로그램을 시작할 것이라고 발표했습니다.. 새 프로그램이 호출됩니다. GitHub의 보안 연구소 또한 다양한 회사의 보안 연구원이 인기있는 오픈 소스 프로젝트를 식별하고 문제를 해결할 수 있도록합니다.
모든 관심있는 기업 및 보안 전문가 개별 컴퓨팅 당신은 초대 이니셔티브에 참여하기 위해 보안 연구원 F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber 및 VMWare, 지난 105 년 동안 다음과 같은 프로젝트에서 XNUMX 개의 취약점을 식별하고 수정하는 데 도움이되었습니다. Chromium, libssh2, Linux 커널, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode 및 Hadoop.
"Security Lab의 임무는 글로벌 연구 커뮤니티가 프로그램 코드를 보호하도록 고무하고 활성화하는 것"이라고 회사는 밝혔다.
유지 보수 수명주기 GitHub에서 제안한 코드의 보안 성 GitHub Security Lab 참가자가 취약성을 식별 할 것임을 암시합니다. 그런 다음 문제에 대한 정보가 문제를 해결하고 문제에 대한 정보를 공개 할시기에 동의하며 취약성을 제거하여 버전을 설치해야 함을 종속 프로젝트에 알릴 관리자 및 개발자에게 전달됩니다.
Microsoft 출시 공개 소스 코드에서 취약점을 찾기 위해 개발 된 CodeQL. 데이터베이스는 GitHub에있는 코드에 수정 된 문제가 다시 나타나지 않도록 CodeQL 템플릿을 호스팅합니다.
또한 GitHub는 최근 CVE 인증 번호 지정 기관 (CNA)이되었습니다. 이는 취약점에 대한 CVE 식별자를 발급 할 수 있음을 의미합니다. 이 기능은»보안 팁«이라는 새로운 서비스에 추가되었습니다.
GitHub 인터페이스를 통해 CVE 식별자를 얻을 수 있습니다. 확인 된 문제에 대해보고를 준비하면 GitHub가 자체적으로 필요한 알림을 보내고 조정 된 수정을 준비합니다. 또한 문제를 해결 한 후 GitHub는 종속성을 업데이트하기 위해 자동으로 pull 요청을 보냅니다. 취약한 프로젝트와 관련이 있습니다.
롯 CVE 식별자 GitHub의 댓글에 언급 됨 이제 자동으로 취약성에 대한 자세한 정보를 참조합니다. 제출 된 데이터베이스에서. 데이터베이스 작업을 자동화하기 위해 별도의 API가 제안됩니다.
GitHub의 또한 GitHub Advisory Database Vulnerabilities Catalog, GitHub 프로젝트에 영향을 미치는 취약성에 대한 정보와 취약한 패키지 및 리포지토리를 추적하는 정보를 게시합니다. 보안 컨설팅 데이터베이스의 이름 GitHub에있을 것이 GitHub Advisory Database입니다.
또한 공개 액세스 저장소에서 인증 토큰 및 액세스 키와 같은 기밀 정보를 가져 오지 않도록 보호 서비스 업데이트를보고했습니다.
확인하는 동안 스캐너는 다음을 포함하여 20 개의 클라우드 제공 업체 및 서비스에서 사용하는 일반적인 키 및 토큰 형식을 확인합니다. Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack 및 Stripe. 토큰이 감지되면 서비스 공급자에게 요청이 전송되어 누출을 확인하고 손상된 토큰을 취소합니다. 어제부터 이전에 지원되었던 형식 외에도 GoCardless, HashiCorp, Postman 및 Tencent 토큰을 정의하기위한 지원이 추가되었습니다.
취약점 식별을 위해 최대 $ 3,000의 수수료가 제공됩니다. 문제의 위험과 보고서 준비의 품질에 따라 다릅니다.
회사에 따르면 버그 보고서에는 취약한 코드 템플릿을 생성하여 다른 프로젝트의 코드에서 유사한 취약점의 존재를 감지 할 수있는 CodeQL 쿼리가 포함되어야합니다 (CodeQL은 코드의 의미 분석을 허용하고 특정 구조를 검색하기위한 쿼리 형식을 허용합니다). .