O dia de ontem, na conferência GitHub Universe para desenvolvedores, O GitHub anunciou que lançará um novo programa que visa melhorar a segurança do ecossistema de código aberto. O novo programa é chamado GitHub Laboratório de Segurança e permite que pesquisadores de segurança de várias empresas identifiquem e solucionem problemas de projetos populares de código aberto.
Todas as empresas interessadas e especialistas em segurança computação individual Você está convidado para se juntar à iniciativa para a qual pesquisadores de segurança de F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber e VMWare, que identificaram e ajudaram a corrigir 105 vulnerabilidades nos últimos dois anos em projetos como Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode e Hadoop.
"A missão do Security Lab é inspirar e permitir que a comunidade de pesquisa global proteja o código do programa", disse a empresa.
O ciclo de vida da manutenção da segurança do código proposto pelo GitHub implica que os participantes do GitHub Security Lab identificarão vulnerabilidades, após o que as informações sobre os problemas serão comunicadas ao mantenedor e desenvolvedores que resolverão os problemas, concordarão sobre quando divulgar as informações sobre o problema e informarão os projetos dependentes da necessidade de instalar a versão com remoção de vulnerabilidade.
Microsoft lançou CodeQL, que foi desenvolvido para encontrar vulnerabilidades em código-fonte aberto, para uso público. O banco de dados hospedará modelos CodeQL para evitar o reaparecimento de problemas corrigidos no código presente no GitHub.
Além disso, o GitHub tornou-se recentemente uma Autoridade de Numeração Autorizada CVE (CNA). Isso significa que ele pode emitir identificadores CVE para vulnerabilidades. Este recurso foi adicionado a um novo serviço chamado »Dicas de segurança«.
Por meio da interface do GitHub, você pode obter o identificador CVE para o problema identificado e preparar um relatório, e o GitHub enviará por conta própria as notificações necessárias e organizará sua correção coordenada. Além disso, depois de corrigir o problema, O GitHub enviará automaticamente solicitações pull para atualizar dependências associados ao projeto vulnerável.
Os Identificadores CVE mencionado nos comentários no GitHub agora se referem automaticamente a informações detalhadas sobre a vulnerabilidade no banco de dados enviado. Para automatizar o trabalho com o banco de dados, uma API separada é proposta.
GitHub também apresentou o Catálogo de Vulnerabilidades de Banco de Dados Consultivo do GitHub, que publica informações sobre vulnerabilidades que afetam projetos do GitHub e informações para rastrear pacotes e repositórios vulneráveis. O nome do banco de dados de consultoria de segurança que estará no GitHub será o GitHub Advisory Database.
Também relatou a atualização do serviço de proteção contra a obtenção de informações confidenciais, como tokens de autenticação e chaves de acesso, em um repositório de acesso público.
Durante a confirmação, o scanner verifica os formatos típicos de chave e token usados por 20 provedores de nuvem e serviços, incluindo API Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack e Stripe. Se um token for detectado, uma solicitação será enviada ao provedor de serviços para confirmar o vazamento e revogar os tokens comprometidos. Desde ontem, além dos formatos suportados anteriormente, foi adicionado suporte para definir tokens GoCardless, HashiCorp, Postman e Tencent
Para identificação de vulnerabilidade, uma taxa de até US $ 3,000 é fornecida, dependendo do perigo do problema e da qualidade da preparação do relatório.
Segundo a empresa, os relatórios de bugs devem conter uma consulta CodeQL que permite criar um template de código vulnerável para detectar a presença de uma vulnerabilidade semelhante no código de outros projetos (CodeQL permite a análise semântica do código e formular consultas para busca de estruturas específico).