Wczoraj, na konferencji GitHub Universe dla programistów, GitHub ogłosił, że uruchomi nowy program mający na celu poprawę bezpieczeństwa ekosystemu open source. Nowy program zostaje wywołany GitHub Laboratorium bezpieczeństwa i umożliwia analitykom bezpieczeństwa z różnych firm identyfikowanie i rozwiązywanie problemów z popularnymi projektami open source.
wszystko zainteresowane firmy i specjaliści ds. bezpieczeństwa obliczenia indywidualne jesteś zaproszony dołączyć do inicjatywy, do której badacze bezpieczeństwa z F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber i VMWare, które zidentyfikowały i pomogły skorygować 105 luk w zabezpieczeniach w ciągu ostatnich dwóch lat w projektach takich jak Chromium, libssh2, jądro Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode i Hadoop.
„Misją Security Lab jest inspirowanie globalnej społeczności badawczej i umożliwianie jej zabezpieczenia kodu programu” - powiedziała firma.
Cykl życia konserwacji bezpieczeństwa kodu proponowanego przez GitHub oznacza, że uczestnicy GitHub Security Lab zidentyfikują luki w zabezpieczeniach, po czym informacja o problemach zostanie przekazana opiekunowi i programistom, którzy rozwiążą problemy, uzgodnią, kiedy ujawnić informacje o problemie i poinformują projekty zależne o potrzebie instalacji wersji z usunięciem słaby punkt.
Microsoft wydał CodeQL, który został opracowany w celu wyszukiwania luk w kodzie open source do użytku publicznego. Baza danych będzie hostować szablony CodeQL, aby uniknąć ponownego pojawienia się naprawionych problemów w kodzie na GitHub.
Ponadto GitHub niedawno stał się autoryzowanym urzędem numeracyjnym CVE (CNA). Oznacza to, że może wystawiać identyfikatory CVE dla luk w zabezpieczeniach. Ta funkcja została dodana do nowej usługi o nazwie »Wskazówki dotyczące bezpieczeństwa«.
Poprzez interfejs GitHub możesz uzyskać identyfikator CVE za zidentyfikowany problem i przygotuje raport, a GitHub sam wyśle niezbędne powiadomienia i zorganizuje ich skoordynowaną naprawę. Po naprawieniu problemu GitHub automatycznie wyśle żądania ściągnięcia w celu aktualizacji zależności związane z wrażliwym projektem.
L Identyfikatory CVE wspomniane w komentarzach na GitHub teraz automatycznie odwołuje się do szczegółowych informacji o luce w przesłanej bazie danych. Aby zautomatyzować pracę z bazą danych, zaproponowano osobne API.
GitHub zawierał także Katalog luk w bazie danych porad GitHub, która publikuje informacje o lukach w projektach GitHub oraz informacje o śledzeniu wrażliwych pakietów i repozytoriów. Nazwa bazy danych konsultingowych dotyczących bezpieczeństwa która będzie na GitHubie będzie GitHub Advisory Database.
Zgłosił również aktualizację usługi ochrony przed uzyskiwaniem poufnych informacji, takich jak tokeny uwierzytelniające i klucze dostępu, w repozytorium dostępu publicznego.
Podczas potwierdzania skaner weryfikuje typowe formaty kluczy i tokenów używane przez 20 dostawców i usług chmurowych, w tym Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack i Stripe. W przypadku wykrycia tokenu wysyłane jest żądanie do dostawcy usług w celu potwierdzenia wycieku i unieważnienia zagrożonych tokenów. Od wczoraj, oprócz wcześniej obsługiwanych formatów, dodano obsługę definiowania tokenów GoCardless, HashiCorp, Postman i Tencent
Za identyfikację podatności pobierana jest opłata w wysokości do 3,000 USD, w zależności od niebezpieczeństwa problemu i jakości sporządzenia raportu.
Według firmy raporty o błędach muszą zawierać zapytanie CodeQL, które pozwala na stworzenie podatnego szablonu kodu w celu wykrycia obecności podobnej luki w kodzie innych projektów (CodeQL umożliwia semantyczną analizę kodu i zapytania formularzy w celu wyszukania struktur konkretny).