Вчерашний день, на конференции GitHub Universe для разработчиков, GitHub объявил, что запустит новую программу, направленную на повышение безопасности экосистемы с открытым исходным кодом.. Новая программа называется GitHub Лаборатория безопасности и позволяет исследователям безопасности из множества компаний выявлять и устранять неполадки в популярных проектах с открытым исходным кодом.
все заинтересованные компании и специалисты по безопасности индивидуальные вычисления вы приглашены присоединиться к инициативе, к которой исследователи безопасности из F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber и VMWare, которые выявили и помогли исправить 105 уязвимостей за последние два года в таких проектах, как Chromium, libssh2, ядро Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode и Hadoop.
«Миссия Security Lab - вдохновить мировое исследовательское сообщество и дать ему возможность защитить программный код», - заявили в компании.
Жизненный цикл обслуживания безопасности кода, предложенного GitHub подразумевает, что участники GitHub Security Lab будут определять уязвимости, после чего информация о проблемах будет передана сопровождающему и разработчикам, которые разрешат проблемы, согласятся, когда раскрыть информацию о проблеме, и проинформируют зависимые проекты о необходимости установки версии с устранением уязвимости.
Microsoft выпустила CodeQL, который был разработан для поиска уязвимостей в открытом исходном коде, для публичного использования.. В базе данных будут размещаться шаблоны CodeQL, чтобы избежать повторного появления исправленных проблем в коде, представленном на GitHub.
Кроме того, GitHub недавно стал авторизованным центром нумерации CVE (CNA). Это означает, что он может выдавать идентификаторы CVE для уязвимостей. Эта функция была добавлена в новую услугу «Советы по безопасности».
Через интерфейс GitHub можно получить идентификатор CVE по выявленной проблеме и подготовить отчет, а GitHub самостоятельно отправит необходимые уведомления и организует их согласованное исправление. Также после устранения проблемы GitHub автоматически отправляет запросы на включение для обновления зависимостей. связанный с уязвимым проектом.
Идентификаторы CVE упоминается в комментариях на GitHub теперь автоматически обращаться к подробной информации об уязвимости в представленной базе данных. Для автоматизации работы с базой данных предлагается отдельный API.
GitHub также содержит каталог уязвимостей базы данных GitHub Advisory, который публикует информацию об уязвимостях, влияющих на проекты GitHub, и информацию для отслеживания уязвимых пакетов и репозиториев. Имя базы данных консультации по безопасности то, что будет на GitHub, будет GitHub Advisory Database.
Он также сообщил об обновлении службы защиты от получения конфиденциальной информации, такой как токены аутентификации и ключи доступа, в репозиторий открытого доступа.
Во время подтверждения сканер проверяет типичные форматы ключей и токенов, используемые 20 облачными провайдерами и сервисами, включая API-интерфейс Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack и Stripe. Если токен обнаружен, поставщику услуг отправляется запрос для подтверждения утечки и отзыва скомпрометированных токенов. Со вчерашнего дня, в дополнение к ранее поддерживаемым форматам, была добавлена поддержка для определения токенов GoCardless, HashiCorp, Postman и Tencent.
За выявление уязвимостей предусмотрена комиссия до 3,000 долларов США, в зависимости от опасности проблемы и качества подготовки отчета.
По заявлению компании, отчеты об ошибках должны содержать запрос CodeQL, позволяющий создать шаблон уязвимого кода для обнаружения наличия аналогичной уязвимости в коде других проектов (CodeQL позволяет семантический анализ кода и формировать запросы для поиска конкретных структур) .