Ieri, la conferința GitHub Universe pentru dezvoltatori, GitHub a anunțat că va lansa un nou program menit să îmbunătățească securitatea ecosistemului open source. Noul program se numește GitHub Laborator de securitate și permite cercetătorilor de securitate dintr-o varietate de companii să identifice și să remedieze problemele cu proiectele open source populare.
toate companiile interesate şi specialiştii în securitate calcul individual esti invitat să se alăture iniţiativei la care cercetători de securitate din F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber și VMWare, care au identificat și au ajutat la remedierea a 105 vulnerabilități în ultimii doi ani în proiecte precum Chromium, libssh2, kernel Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode și Hadoop.
„Misiunea Security Lab este de a inspira și de a permite comunității globale de cercetare să securizeze codul programului”, a spus compania.
Ciclul de viață de întreținere de securitatea codului propus de GitHub implică faptul că participanții GitHub Security Lab vor identifica vulnerabilități, după care informațiile despre probleme vor fi comunicate întreținătorilor și dezvoltatorilor care vor rezolva problemele, vor conveni asupra momentului de dezvăluire a informațiilor despre problemă și vor informa proiectele dependente despre necesitatea instalării versiunii cu eliminarea vulnerabilității.
Microsoft a lansat CodeQL, care a fost dezvoltat pentru a găsi vulnerabilități în codul open source, pentru uz public. Baza de date va găzdui șabloane CodeQL pentru a preveni reapariția problemelor rezolvate în codul prezent pe GitHub.
În plus, GitHub a devenit recent o Autoritate de Numerotare Autorizată CVE (CNA). Aceasta înseamnă că poate emite identificatori CVE pentru vulnerabilități. Această caracteristică a fost adăugată unui nou serviciu numit „sfaturi de siguranță”.
Prin interfața GitHub se poate obține identificatorul CVE pentru problema identificată și pregătiți un raport, iar GitHub va trimite el însuși notificările necesare și va organiza remedierea coordonată. De asemenea, după rezolvarea problemei, GitHub va trimite automat cereri de extragere pentru a actualiza dependențele asociat cu proiectul vulnerabil.
L identificatori CVE menționat în comentariile de pe GitHub face referire automată la informații detaliate despre vulnerabilitate în baza de date transmisă. Pentru a automatiza lucrul cu baza de date, este propus un API separat.
GitHub a prezentat și catalogul de vulnerabilități al bazei de date de consiliere GitHub, care publică informații despre vulnerabilitățile care afectează proiectele GitHub și informații pentru a urmări pachetele și depozitele vulnerabile. Numele bazei de date de consultanță în securitate care va fi pe GitHub va fi GitHub Advisory Database.
De asemenea, a raportat actualizarea serviciului pentru a proteja împotriva accesului la un depozit accesibil public de informații sensibile, cum ar fi jetoanele de autentificare și cheile de acces.
În timpul confirmării, scanerul verifică formatele tipice de chei și token utilizate de 20 de furnizori și servicii cloud, inclusiv Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack și Stripe. Dacă este detectat un token, se trimite o solicitare către furnizorul de servicii pentru a confirma scurgerea și a revoca token-urile compromise. De ieri, pe lângă formatele acceptate anterior, a fost adăugat suport pentru definirea jetoanelor GoCardless, HashiCorp, Postman și Tencent
Pentru identificarea vulnerabilităților, se oferă o taxă de până la 3,000 USD, în funcţie de pericolul problemei şi de calitatea întocmirii raportului.
Potrivit companiei, rapoartele de erori trebuie să conțină o interogare CodeQL care să permită crearea unui șablon de cod vulnerabil pentru a detecta prezența unei vulnerabilități similare în codul altor proiecte (CodeQL permite efectuarea de analize semantice a codului și interogări de formular pentru a căuta structuri specifice ).