I går, på GitHub Universe-konferansen for utviklere, GitHub kunngjorde at de vil lansere et nytt program som tar sikte på å forbedre sikkerheten til open source-økosystemet. Det nye programmet heter GitHub Sikkerhetslaboratorium og det gjør sikkerhetsforskere fra en rekke selskaper i stand til å identifisere og feilsøke populære open source-prosjekter.
Alle interesserte selskaper og sikkerhetsspesialister individuell databehandling du er invitert å bli med på initiativet som sikkerhetsforskere fra F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber og VMWare, som har identifisert og bidratt til å rette opp 105 sårbarheter de siste to årene i prosjekter som Chromium, libssh2, Linux-kjernen, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode og Hadoop.
"Oppgaven til Security Lab er å inspirere og muliggjøre det globale forskningsmiljøet å sikre programkoden," sa selskapet.
Vedlikeholdssyklusen av sikkerheten til koden foreslått av GitHub innebærer at GitHub Security Lab-deltakere vil identifisere sårbarheter, hvoretter informasjonen om problemene vil bli kommunisert til vedlikeholderen og utviklerne som vil løse problemene, bli enige om når de skal avsløre informasjon om problemet, og informere avhengige prosjekter om behovet for å installere versjonen med fjerning av sårbarhet.
Microsoft utgitt CodeQL, som ble utviklet for å finne sårbarheter i åpen kildekode, for offentlig bruk. Databasen vil være vert for CodeQL-maler for å unngå at problemer med feil igjen vises i koden på GitHub.
I tillegg har GitHub nylig blitt en CVE Authorized Numbering Authority (CNA). Dette betyr at den kan utstede CVE-identifikatorer for sårbarheter. Denne funksjonen er lagt til en ny tjeneste kalt »Sikkerhetstips«.
Gjennom GitHub-grensesnittet kan du få CVE-identifikatoren for det identifiserte problemet og utarbeide en rapport, og GitHub vil sende de nødvendige varslene på egenhånd og organisere sin koordinerte rettelse. Etter å ha løst problemet, GitHub vil automatisk sende trekkforespørsler for å oppdatere avhengigheter knyttet til det sårbare prosjektet.
den CVE-identifikatorer nevnt i kommentarene på GitHub referer nå automatisk til detaljert informasjon om sårbarheten i den innsendte databasen. For å automatisere arbeidet med databasen foreslås et eget API.
GitHub også omtalt GitHub Advisory Database Vulnerabilities Catalog, som publiserer informasjon om sårbarheter som påvirker GitHub-prosjekter og informasjon for å spore sårbare pakker og arkiver. Navnet på databasen for sikkerhetsrådgivning som vil være på GitHub vil være GitHub Advisory Database.
Det rapporterte også oppdateringen av beskyttelsestjenesten mot å få konfidensiell informasjon, for eksempel autentiseringstokener og tilgangsnøkler, i et offentlig depot.
Under bekreftelsen verifiserer skanneren typiske nøkkel- og tokenformater som brukes av 20 skyleverandører og -tjenester, inkludert Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack og Stripe. Hvis et token oppdages, sendes en forespørsel til tjenesteleverandøren om å bekrefte lekkasjen og tilbakekalle de kompromitterte tokens. Siden i går, i tillegg til de tidligere støttede formatene, er det lagt til støtte for å definere GoCardless, HashiCorp, Postman og Tencent tokens
For identifikasjon av sårbarhet er det gitt et gebyr på opptil $ 3,000, avhengig av faren for problemet og kvaliteten på utarbeidelsen av rapporten.
Ifølge selskapet må feilrapporter inneholde et CodeQL-spørsmål som gjør det mulig å lage en sårbar kodemal for å oppdage tilstedeværelsen av en lignende sårbarhet i koden til andre prosjekter (CodeQL tillater semantisk analyse av koden og skjemaspørsmål for å søke etter strukturer som er spesifikke) .