Vakar, GitHub Universe konferencē izstrādātājiem, GitHub paziņoja, ka uzsāks jaunu programmu, kuras mērķis ir uzlabot atvērtā pirmkoda ekosistēmas drošību. Tiek saukta jaunā programma GitHub Drošības laboratorija un tas ļauj dažādu uzņēmumu drošības pētniekiem identificēt populāros atvērtā pirmkoda projektus un novērst tos.
visi ieinteresētie uzņēmumi un drošības speciālisti individuāla skaitļošana jūs esat uzaicināts pievienoties iniciatīvai, kurai drošības pētnieki no F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber un VMWare, kas pēdējos divos gados ir identificējuši un palīdzējuši novērst 105 ievainojamības tādos projektos kā Chromium, libssh2, Linux kodols, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode un Hadoop.
"Drošības laboratorijas misija ir iedvesmot un dot iespēju pasaules pētnieku kopienai nodrošināt programmas kodu," paziņoja uzņēmums.
Uzturēšanas dzīves cikls no GitHub piedāvātā koda drošības nozīmē, ka GitHub Security Lab dalībnieki identificēs ievainojamības, pēc tam informācija par jautājumiem tiks paziņota uzturētājam un izstrādātājiem, kuri atrisinās problēmas, vienosies, kad atklāt informāciju par šo problēmu, un informēs atkarīgos projektus par nepieciešamību instalēt versiju, noņemot ievainojamība.
Microsoft izlaida CodeQL, kas tika izstrādāts, lai atklātu atklātā pirmkoda ievainojamības, publiskai lietošanai. Datu bāzē tiks mitinātas CodeQL veidnes, lai izvairītos no fiksētu problēmu parādīšanās GitHub esošajā kodā.
Turklāt GitHub nesen ir kļuvis par CVE pilnvaroto numerācijas iestādi (CNA). Tas nozīmē, ka tā var izsniegt CVE identifikatorus ievainojamībai. Šī funkcija ir pievienota jaunam pakalpojumam ar nosaukumu »Drošības padomi«.
Izmantojot GitHub saskarni, jūs varat iegūt CVE identifikatoru identificētajai problēmai un sagatavo ziņojumu, un GitHub pats nosūtīs nepieciešamos paziņojumus un organizēs to saskaņotu labošanu. Pēc problēmas novēršanas arī GitHub automātiski nosūtīs pieprasījumus atjaunināt atkarības saistīts ar neaizsargāto projektu.
L CVE identifikatori minēts GitHub komentāros tagad automātiski atsaucieties uz detalizētu informāciju par ievainojamību iesniegtajā datu bāzē. Lai automatizētu darbu ar datu bāzi, tiek piedāvāta atsevišķa API.
GitHub arī GitHub Advisory Database ievainojamību katalogs, kas publicē informāciju par ievainojamībām, kas ietekmē GitHub projektus, un informāciju, lai izsekotu neaizsargātās paketes un krātuves. Drošības konsultāciju datu bāzes nosaukums kas būs vietnē GitHub, būs GitHub konsultatīvā datu bāze.
Viņš arī ziņoja par aizsardzības dienesta atjaunināšanu pret konfidenciālas informācijas, piemēram, autentifikācijas marķieru un piekļuves atslēgu, iegūšanu publiski pieejamā krātuvē.
Apstiprināšanas laikā skeneris pārbauda tipiskos atslēgu un marķieru formātus, kurus izmanto 20 mākoņa nodrošinātāji un pakalpojumi, tostarp Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack un Stripe. Ja tiek atklāts marķieris, pakalpojumu sniedzējam tiek nosūtīts pieprasījums apstiprināt noplūdi un atsaukt apdraudētos marķierus. Kopš vakardienas papildus iepriekš atbalstītajiem formātiem ir pievienots atbalsts GoCardless, HashiCorp, Postman un Tencent marķieru definēšanai
Par ievainojamības noteikšanu tiek paredzēta maksa līdz 3,000 USD, atkarībā no problēmas bīstamības un ziņojuma sagatavošanas kvalitātes.
Pēc uzņēmuma domām, kļūdu ziņojumos jābūt CodeQL vaicājumam, kas ļauj izveidot neaizsargātu koda veidni, lai noteiktu līdzīgu ievainojamību citu projektu kodā (CodeQL ļauj semantiski analizēt kodu un veidlapu vaicājumus, lai meklētu specifiskas struktūras) .