GitHub Security Lab нь нээлттэй эхийн програм хангамжийн сул талыг тодорхойлох төсөл юм

github-security-lab-hed

 

Өчигдөр, GitHub Universe бага хурал дээр хөгжүүлэгчдэд, GitHub нээлттэй эхийн экосистемийн аюулгүй байдлыг сайжруулахад чиглэсэн шинэ хөтөлбөр эхлүүлэхээ мэдэгдэв. Шинэ програмыг нэрлэв GitHub Аюулгүй байдлын лаборатори Энэ нь янз бүрийн компаниудын аюулгүй байдлын судлаачдад түгээмэл хэрэглэгддэг нээлттэй эхийн төслүүдийг олж илрүүлэх, шийдвэрлэх боломжийг олгодог.

бүх сонирхсон компаниуд болон аюулгүй байдлын мэргэжилтнүүд хувь хүний ​​тооцоолол таныг урьсан санаачилгад нэгдэх аюулгүй байдлын судлаачид F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber, VMWare, зэрэг төслүүдийн сүүлийн хоёр жилийн хугацаанд гарсан 105 эмзэг байдлыг тодорхойлж, засахад тусалсан Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode and Heo.

"Аюулгүй байдлын лабораторийн эрхэм зорилго нь дэлхийн судалгааны нийгэмлэгт програмын кодыг аюулгүй болгох урам зоригийг өгч, идэвхжүүлэх явдал юм" гэж компаниас мэдээлэв.

Засвар үйлчилгээний амьдралын мөчлөг GitHub-ийн санал болгосон кодын аюулгүй байдлын талаар GitHub Security Lab-ийн оролцогчид эмзэг байдлыг олж илрүүлэх болно гэсэн үг юм. Үүний дараа асуудлын талаархи мэдээллийг засвар үйлчилгээ эрхлэгч болон хөгжүүлэгчдэд мэдэгдэж, асуудлыг хэзээ шийдвэрлэхээ тохиролцож, хувилбарыг суулгах шаардлагатайг хараат бус төслүүдэд эмзэг байдлыг арилгах шаардлагатай болно.

Microsoft гаргасан Нээлттэй эх кодын эмзэг байдлыг олох зорилгоор боловсруулсан CodeQL нь олон нийтийн хэрэгцээнд зориулагдсан болно. Өгөгдлийн сан нь GitHub дээр байгаа код дээр гарсан асуудлууд дахин гарч ирэхээс зайлсхийхийн тулд CodeQL загваруудыг байрлуулах болно.

Нэмж дурдахад, GitHub нь CVE эрх бүхий дугаарын газар (CNA) болж саяхан болжээ. Энэ нь эмзэг байдлын хувьд CVE танигч гаргаж чаддаг гэсэн үг юм. Энэ функц нь »Аюулгүй байдлын зөвлөмжүүд» хэмээх шинэ үйлчилгээнд нэмэгдсэн болно.

GitHub интерфэйсээр дамжуулан та CVE танигчийг авах боломжтой илэрсэн асуудлын талаар тайлан бэлтгэж, GitHub нь шаардлагатай мэдэгдлийг дангаар нь илгээж, тэдгээрийн зохицуулалтыг засах болно. Түүнчлэн, асуудлыг зассаны дараа, GitHub нь хамаарлыг шинэчлэхийн тулд татах хүсэлтийг автоматаар илгээх болно эмзэг төсөлтэй холбоотой.

олон тоо CVE танигч GitHub дээрх сэтгэгдлүүдэд дурдсан болно одоо эмзэг байдлын талаархи дэлгэрэнгүй мэдээллийг автоматаар үзээрэй ирүүлсэн мэдээллийн санд. Мэдээллийн сантай ажиллах ажлыг автоматжуулахын тулд тусдаа API санал болгож байна.

GitHub GitHub зөвлөх мэдээллийн сангийн эмзэг байдлын каталог, GitHub төслүүдэд нөлөөлж буй эмзэг байдлын талаархи мэдээлэл, эмзэг багц, репозиторыг хянах мэдээллийг нийтэлдэг. Аюулгүй байдлын зөвлөх мэдээллийн сангийн нэр GitHub дээр байх болно, энэ нь GitHub зөвлөх мэдээллийн сан байх болно.

Түүнчлэн баталгаажуулалтын жетон, нэвтрэх түлхүүр зэрэг нууц мэдээллийг олон нийтийн хандалтын санд авахаас хамгаалах үйлчилгээний шинэчлэлтийг мэдээлэв.

Баталгаажуулах явцад сканнер нь үүлний үйлчилгээ үзүүлэгч, үйлчилгээ эрхэлдэг 20 үйлчилгээ үзүүлэгчдийн ашигладаг ердийн түлхүүр ба жетоны форматыг баталгаажуулдаг Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack, and Stripe. Хэрэв токен илэрсэн бол үйлчилгээ үзүүлэгч байгууллагад алдагдсан болохыг баталгаажуулах, эвдэрсэн жетоныг цуцлах хүсэлтийг илгээнэ. Өчигдрөөс эхлэн өмнө нь дэмжигдсэн форматуудаас гадна GoCardless, HashiCorp, Postman, Tencent жетонуудыг тодорхойлоход дэмжлэг нэмж оруулсан болно.

Эмзэг байдлыг тодорхойлоход 3,000 доллар хүртэлх хураамж өгдөг. асуудлын аюул, тайлан бэлтгэх чанараас хамаарна.

Компанийн мэдээлснээр алдааны тайлан нь бусад төслүүдийн кодонд ижил төстэй эмзэг байдлыг илрүүлэх эмзэг кодын загвар үүсгэх боломжийг олгодог CodeQL асуулгыг агуулсан байх ёстой (CodeQL нь кодын семантик дүн шинжилгээ хийх, тодорхой бүтэц хайх зорилгоор асуулга үүсгэх боломжийг олгодог) .


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.