GitHub Security Lab e Projet fir Schwachlëchkeeten an Open Source Software z'identifizéieren

github-security-lab-hed

 

Gëschter, op der GitHub Universe Konferenz fir Entwéckler, GitHub huet ugekënnegt datt et en neie Programm lancéiert fir d'Sécherheet vum Open Source Ökosystem ze verbesseren. Den neie Programm heescht GitHub Sécherheet Lab an et erméiglecht Sécherheetsfuerscher aus verschiddene Firmen fir populär Open Source Projeten z'identifizéieren an ze léisen.

all interesséiert Firmen a Sécherheetsspezialisten individuell Rechenzäit Dir sidd invitéiert der Initiativ bäizetrieden op déi Sécherheet Fuerscher aus F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber a VMWare, déi 105 Schwachstelle an de leschten zwee Joer a Projete wéi z Chromium, libssh2, Linux Kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode an Hadoop.

"D'Missioun vum Sécherheetslabor ass ze inspiréieren an d'weltwäit Fuerschungsgemeinschaft z'erméiglechen de Programmcode ze sécheren", sot d'Firma.

Den Ënnerhalt Liewenszyklus vun der Sécherheet vum Code proposéiert vum GitHub implizéiert datt GitHub Security Lab Participanten Schwachstelle identifizéieren, duerno gëtt d'Informatioun iwwer d'Problemer dem Ënnerhalter an den Entwéckler matgedeelt, déi d'Problemer léisen, averstanen wann d'Informatioun iwwer d'Probleem verëffentlecht gëtt an ofhängeg Projeten z'informéieren iwwer d'Notzung vun der Versioun mat der Entféierung vun Schwachstelle.

Microsoft verëffentlecht CodeQL, deen entwéckelt gouf fir Schwachlëchkeeten am Open Source Code ze fannen, fir ëffentlech Benotzung. D'Datebank wäert CodeQL Templates hosten fir nei Erscheinung vu fixen Themen am Code present op GitHub ze vermeiden.

Zousätzlech ass GitHub kierzlech eng CVE Autoriséierter Nummeréierungs Autoritéit (CNA) ginn. Dëst bedeit datt et CVE Identifizéierer fir Schwachstelle kann ausstellen. Dës Feature gouf zu engem neie Service genannt "Sécherheets Tipps".

Duerch d'GitHub Interface kënnt Dir den CVE Identifizéierer kréien fir den identifizéierte Problem a preparéiert e Bericht, a GitHub schéckt déi néideg Notifikatiounen eleng an arrangéiert hir koordinéiert Korrektur. Och, nodeems de Problem behuewen huet, GitHub schéckt automatesch Pull Ufroe fir Ofhängegkeeten ze aktualiséieren mam vulnerabele Projet verbonnen.

der CVE Identifizéierer an de Kommentaren op GitHub ernimmt bezitt sech elo automatesch op detailléiert Informatiounen iwwer d'Schwachstelle an der agereechten Datebank. Fir d'Aarbecht mat der Datebank ze automatiséieren, gëtt eng separat API proposéiert.

GitHub och de GitHub Advisory Database Vulnerabilities Catalog, déi Informatioun iwwer Schwachstelle verëffentlecht, déi GitHub Projeten beaflossen an Informatioun fir vulnär Packagen a Repositories ze verfollegen. Den Numm vun der Sécherheetsberodungsdatebank dat wäert op GitHub sinn GitHub Advisory Database.

Hien huet och den Update vum Schutzdéngscht bericht géint vertraulech Informatioun wéi Authentifikatiounstoken an Zougangsschlësselen an engem ëffentlech zougängleche Repository.

Wärend der Bestätegung verifizéiert de Scanner typesch Schlëssel- an Tokenformate vun 20 Cloud Providere a Servicer, inklusiv Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack a Stripe. Wann en Token festgestallt gëtt, gëtt eng Ufro un de Service Provider geschéckt fir de Leak ze bestätegen an déi kompromittéiert Token zréckzezéien. Zënter gëschter gouf zousätzlech zu de virdrun ënnerstëtzt Formate Support derbäigesat fir GoCardless, HashiCorp, Postman an Tencent Token ze definéieren.

Fir Identifikatioun vu Schwachstelle gëtt eng Fraise vu bis zu $ ​​3,000 virgesinn, ofhängeg vun der Gefor vum Problem an der Qualitéit vun der Berichtvirbereedung.

Laut der Firma musse Feelerberichter eng CodeQL Ufro enthalen déi et erméiglecht eng vulnérabel Codeschabloun ze kreéieren fir d'Präsenz vun enger ähnlecher Schwachstelle am Code vun anere Projeten z'entdecken (CodeQL erlaabt semantesch Analyse vum Code a Formufroen fir no Strukturen ze sichen. spezifesch).


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.