GitHub Security Lab un proiect pentru identificarea vulnerabilităților în software-ul open source

github-security-lab-hed

 

Ieri, la conferința GitHub Universe pentru dezvoltatori, GitHub a anunțat că va lansa un nou program menit să îmbunătățească securitatea ecosistemului open source. Noul program se numește GitHub Laborator de securitate și permite cercetătorilor din domeniul securității dintr-o varietate de companii să identifice și să depaneze proiectele populare open source.

toate companii interesate și specialiști în securitate calcul individual esti invitat să se alăture inițiativei la care cercetători de securitate din F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber și VMWare, care au identificat și au ajutat la corectarea a 105 vulnerabilități în ultimii doi ani în proiecte precum Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode și Hadoop.

„Misiunea Security Lab este de a inspira și permite comunității globale de cercetare să asigure codul programului”, a spus compania.

Ciclul de viață al întreținerii a securității codului propus de GitHub implică faptul că participanții la GitHub Security Lab vor identifica vulnerabilitățile, după care informațiile despre probleme vor fi comunicate întreținătorului și dezvoltatorilor care vor rezolva problemele, vor conveni când vor dezvălui informații despre problemă și vor informa proiectele dependente despre necesitatea instalării versiunii cu eliminarea vulnerabilității.

Microsoft a lansat CodeQL, care a fost dezvoltat pentru a găsi vulnerabilități în codul sursă deschisă, pentru uz public. Baza de date va găzdui șabloane CodeQL pentru a evita reapariția problemelor rezolvate în codul prezent pe GitHub.

În plus, GitHub a devenit recent o autoritate de numerotare autorizată CVE (CNA). Aceasta înseamnă că poate emite identificatori CVE pentru vulnerabilități. Această caracteristică a fost adăugată la un nou serviciu numit »Sfaturi de securitate«.

Prin interfața GitHub, puteți obține identificatorul CVE pentru problema identificată și pregătește un raport, iar GitHub va trimite singur notificările necesare și va aranja corectarea coordonată a acestora. De asemenea, după rezolvarea problemei, GitHub va trimite automat cereri de pull pentru a actualiza dependențele asociat cu proiectul vulnerabil.

L Identificatori CVE menționat în comentariile de pe GitHub acum se referă automat la informații detaliate despre vulnerabilitate în baza de date trimisă. Pentru a automatiza lucrul cu baza de date, este propus un API separat.

GitHub a prezentat, de asemenea, catalogul de vulnerabilități la baza de date consultativă GitHub, care publică informații despre vulnerabilitățile care afectează proiectele GitHub și informații pentru a urmări pachetele și depozitele vulnerabile. Numele bazei de date de consultanță de securitate care va fi pe GitHub va fi baza de date consultativă GitHub.

El a raportat, de asemenea, actualizarea serviciului de protecție împotriva obținerii de informații confidențiale, cum ar fi jetoane de autentificare și chei de acces, într-un depozit accesibil publicului.

În timpul confirmării, scanerul verifică formatele tipice de chei și simboluri utilizate de 20 de furnizori și servicii cloud, inclusiv API Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack și Stripe. Dacă este detectat un jeton, o cerere este trimisă furnizorului de servicii pentru confirmarea scurgerii și revocarea jetoanelor compromise. De ieri, pe lângă formatele acceptate anterior, a fost adăugat suport pentru definirea jetoanelor GoCardless, HashiCorp, Postman și Tencent

Pentru identificarea vulnerabilității, este prevăzută o taxă de până la 3,000 USD, în funcție de pericolul problemei și de calitatea pregătirii raportului.

Potrivit companiei, rapoartele de erori trebuie să conțină o interogare CodeQL care să permită crearea unui șablon de cod vulnerabil pentru a detecta prezența unei vulnerabilități similare în codul altor proiecte (CodeQL permite analiza semantică a codului și formează interogări pentru a căuta structuri specifice) .


Conținutul articolului respectă principiile noastre de etică editorială. Pentru a raporta o eroare, faceți clic pe aici.

Fii primul care comenteaza

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.