GitHub Security Lab projekt mający na celu identyfikację luk w oprogramowaniu open source

github-laboratorium-ochrony-hed

 

Wczoraj, na konferencji GitHub Universe dla programistów, GitHub ogłosił, że uruchomi nowy program mający na celu poprawę bezpieczeństwa ekosystemu open source. Nowy program zostaje wywołany GitHub Laboratorium bezpieczeństwa i umożliwia analitykom bezpieczeństwa z różnych firm identyfikowanie i rozwiązywanie problemów z popularnymi projektami open source.

wszystko zainteresowane firmy i specjaliści ds. bezpieczeństwa obliczenia indywidualne jesteś zaproszony dołączyć do inicjatywy, do której badacze bezpieczeństwa z F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber i VMWare, które zidentyfikowały i pomogły skorygować 105 luk w zabezpieczeniach w ciągu ostatnich dwóch lat w projektach takich jak Chromium, libssh2, jądro Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode i Hadoop.

„Misją Security Lab jest inspirowanie globalnej społeczności badawczej i umożliwianie jej zabezpieczenia kodu programu” - powiedziała firma.

Cykl życia konserwacji bezpieczeństwa kodu proponowanego przez GitHub oznacza, że ​​uczestnicy GitHub Security Lab zidentyfikują luki w zabezpieczeniach, po czym informacja o problemach zostanie przekazana opiekunowi i programistom, którzy rozwiążą problemy, uzgodnią, kiedy ujawnić informacje o problemie i poinformują projekty zależne o potrzebie instalacji wersji z usunięciem słaby punkt.

Microsoft wydał CodeQL, który został opracowany w celu wyszukiwania luk w kodzie open source do użytku publicznego. Baza danych będzie hostować szablony CodeQL, aby uniknąć ponownego pojawienia się naprawionych problemów w kodzie na GitHub.

Ponadto GitHub niedawno stał się autoryzowanym urzędem numeracyjnym CVE (CNA). Oznacza to, że może wystawiać identyfikatory CVE dla luk w zabezpieczeniach. Ta funkcja została dodana do nowej usługi o nazwie »Wskazówki dotyczące bezpieczeństwa«.

Poprzez interfejs GitHub możesz uzyskać identyfikator CVE za zidentyfikowany problem i przygotuje raport, a GitHub sam wyśle ​​niezbędne powiadomienia i zorganizuje ich skoordynowaną naprawę. Po naprawieniu problemu GitHub automatycznie wyśle ​​żądania ściągnięcia w celu aktualizacji zależności związane z wrażliwym projektem.

L Identyfikatory CVE wspomniane w komentarzach na GitHub teraz automatycznie odwołuje się do szczegółowych informacji o luce w przesłanej bazie danych. Aby zautomatyzować pracę z bazą danych, zaproponowano osobne API.

GitHub zawierał także Katalog luk w bazie danych porad GitHub, która publikuje informacje o lukach w projektach GitHub oraz informacje o śledzeniu wrażliwych pakietów i repozytoriów. Nazwa bazy danych konsultingowych dotyczących bezpieczeństwa która będzie na GitHubie będzie GitHub Advisory Database.

Zgłosił również aktualizację usługi ochrony przed uzyskiwaniem poufnych informacji, takich jak tokeny uwierzytelniające i klucze dostępu, w repozytorium dostępu publicznego.

Podczas potwierdzania skaner weryfikuje typowe formaty kluczy i tokenów używane przez 20 dostawców i usług chmurowych, w tym Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack i Stripe. W przypadku wykrycia tokenu wysyłane jest żądanie do dostawcy usług w celu potwierdzenia wycieku i unieważnienia zagrożonych tokenów. Od wczoraj, oprócz wcześniej obsługiwanych formatów, dodano obsługę definiowania tokenów GoCardless, HashiCorp, Postman i Tencent

Za identyfikację podatności pobierana jest opłata w wysokości do 3,000 USD, w zależności od niebezpieczeństwa problemu i jakości sporządzenia raportu.

Według firmy raporty o błędach muszą zawierać zapytanie CodeQL, które pozwala na stworzenie podatnego szablonu kodu w celu wykrycia obecności podobnej luki w kodzie innych projektów (CodeQL umożliwia semantyczną analizę kodu i zapytania formularzy w celu wyszukania struktur konkretny).


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.