GitHub Security Lab은 오픈 소스 소프트웨어의 취약점을 식별하는 프로젝트

github-security-lab-hed

 

어제, GitHub Universe 컨퍼런스에서 개발자를 위해 GitHub는 오픈 소스 생태계의 보안을 개선하기위한 새로운 프로그램을 시작할 것이라고 발표했습니다.. 새 프로그램이 호출됩니다. GitHub의 보안 연구소 또한 다양한 회사의 보안 연구원이 인기있는 오픈 소스 프로젝트를 식별하고 문제를 해결할 수 있도록합니다.

모든 관심있는 기업 및 보안 전문가 개별 컴퓨팅 당신은 초대 이니셔티브에 참여하기 위해 보안 연구원 F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber 및 VMWare, 지난 105 년 동안 다음과 같은 프로젝트에서 XNUMX 개의 취약점을 식별하고 수정하는 데 도움이되었습니다. Chromium, libssh2, Linux 커널, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode 및 Hadoop.

"Security Lab의 임무는 글로벌 연구 커뮤니티가 프로그램 코드를 보호하도록 고무하고 활성화하는 것"이라고 회사는 밝혔다.

유지 보수 수명주기 GitHub에서 제안한 코드의 보안 성 GitHub Security Lab 참가자가 취약성을 식별 할 것임을 암시합니다. 그런 다음 문제에 대한 정보가 문제를 해결하고 문제에 대한 정보를 공개 할시기에 동의하며 취약성을 제거하여 버전을 설치해야 함을 종속 프로젝트에 알릴 관리자 및 개발자에게 전달됩니다.

Microsoft 출시 공개 소스 코드에서 취약점을 찾기 위해 개발 된 CodeQL. 데이터베이스는 GitHub에있는 코드에 수정 된 문제가 다시 나타나지 않도록 CodeQL 템플릿을 호스팅합니다.

또한 GitHub는 최근 CVE 인증 번호 지정 기관 (CNA)이되었습니다. 이는 취약점에 대한 CVE 식별자를 발급 할 수 있음을 의미합니다. 이 기능은»보안 팁«이라는 새로운 서비스에 추가되었습니다.

GitHub 인터페이스를 통해 CVE 식별자를 얻을 수 있습니다. 확인 된 문제에 대해보고를 준비하면 GitHub가 자체적으로 필요한 알림을 보내고 조정 된 수정을 준비합니다. 또한 문제를 해결 한 후 GitHub는 종속성을 업데이트하기 위해 자동으로 pull 요청을 보냅니다. 취약한 프로젝트와 관련이 있습니다.

CVE 식별자 GitHub의 댓글에 언급 됨 이제 자동으로 취약성에 대한 자세한 정보를 참조합니다. 제출 된 데이터베이스에서. 데이터베이스 작업을 자동화하기 위해 별도의 API가 제안됩니다.

GitHub의 또한 GitHub Advisory Database Vulnerabilities Catalog, GitHub 프로젝트에 영향을 미치는 취약성에 대한 정보와 취약한 패키지 및 리포지토리를 추적하는 정보를 게시합니다. 보안 컨설팅 데이터베이스의 이름 GitHub에있을 것이 GitHub Advisory Database입니다.

또한 공개 액세스 저장소에서 인증 토큰 및 액세스 키와 같은 기밀 정보를 가져 오지 않도록 보호 서비스 업데이트를보고했습니다.

확인하는 동안 스캐너는 다음을 포함하여 20 개의 클라우드 제공 업체 및 서비스에서 사용하는 일반적인 키 및 토큰 형식을 확인합니다. Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack 및 Stripe. 토큰이 감지되면 서비스 공급자에게 요청이 전송되어 누출을 확인하고 손상된 토큰을 취소합니다. 어제부터 이전에 지원되었던 형식 외에도 GoCardless, HashiCorp, Postman 및 Tencent 토큰을 정의하기위한 지원이 추가되었습니다.

취약점 식별을 위해 최대 $ 3,000의 수수료가 제공됩니다. 문제의 위험과 보고서 준비의 품질에 따라 다릅니다.

회사에 따르면 버그 보고서에는 취약한 코드 템플릿을 생성하여 다른 프로젝트의 코드에서 유사한 취약점의 존재를 감지 할 수있는 CodeQL 쿼리가 포함되어야합니다 (CodeQL은 코드의 의미 분석을 허용하고 특정 구조를 검색하기위한 쿼리 형식을 허용합니다). .


기사의 내용은 우리의 원칙을 준수합니다. 편집 윤리. 오류를보고하려면 여기에.

코멘트를 첫번째로 올려

코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.