GitHub Security Lab - проект по выявлению уязвимостей в ПО с открытым исходным кодом

github-security-lab-hed

 

Вчерашний день, на конференции GitHub Universe для разработчиков, GitHub объявил, что запустит новую программу, направленную на повышение безопасности экосистемы с открытым исходным кодом.. Новая программа называется GitHub Лаборатория безопасности и позволяет исследователям безопасности из множества компаний выявлять и устранять неполадки в популярных проектах с открытым исходным кодом.

все заинтересованные компании и специалисты по безопасности индивидуальные вычисления вы приглашены присоединиться к инициативе, к которой исследователи безопасности из F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber и VMWare, которые выявили и помогли исправить 105 уязвимостей за последние два года в таких проектах, как Chromium, libssh2, ядро ​​Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode и Hadoop.

«Миссия Security Lab - вдохновить мировое исследовательское сообщество и дать ему возможность защитить программный код», - заявили в компании.

Жизненный цикл обслуживания безопасности кода, предложенного GitHub подразумевает, что участники GitHub Security Lab будут определять уязвимости, после чего информация о проблемах будет передана сопровождающему и разработчикам, которые разрешат проблемы, согласятся, когда раскрыть информацию о проблеме, и проинформируют зависимые проекты о необходимости установки версии с устранением уязвимости.

Microsoft выпустила CodeQL, который был разработан для поиска уязвимостей в открытом исходном коде, для публичного использования.. В базе данных будут размещаться шаблоны CodeQL, чтобы избежать повторного появления исправленных проблем в коде, представленном на GitHub.

Кроме того, GitHub недавно стал авторизованным центром нумерации CVE (CNA). Это означает, что он может выдавать идентификаторы CVE для уязвимостей. Эта функция была добавлена ​​в новую услугу «Советы по безопасности».

Через интерфейс GitHub можно получить идентификатор CVE по выявленной проблеме и подготовить отчет, а GitHub самостоятельно отправит необходимые уведомления и организует их согласованное исправление. Также после устранения проблемы GitHub автоматически отправляет запросы на включение для обновления зависимостей. связанный с уязвимым проектом.

серия Идентификаторы CVE упоминается в комментариях на GitHub теперь автоматически обращаться к подробной информации об уязвимости в представленной базе данных. Для автоматизации работы с базой данных предлагается отдельный API.

GitHub также содержит каталог уязвимостей базы данных GitHub Advisory, который публикует информацию об уязвимостях, влияющих на проекты GitHub, и информацию для отслеживания уязвимых пакетов и репозиториев. Имя базы данных консультации по безопасности то, что будет на GitHub, будет GitHub Advisory Database.

Он также сообщил об обновлении службы защиты от получения конфиденциальной информации, такой как токены аутентификации и ключи доступа, в репозиторий открытого доступа.

Во время подтверждения сканер проверяет типичные форматы ключей и токенов, используемые 20 облачными провайдерами и сервисами, включая API-интерфейс Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack и Stripe. Если токен обнаружен, поставщику услуг отправляется запрос для подтверждения утечки и отзыва скомпрометированных токенов. Со вчерашнего дня, в дополнение к ранее поддерживаемым форматам, была добавлена ​​поддержка для определения токенов GoCardless, HashiCorp, Postman и Tencent.

За выявление уязвимостей предусмотрена комиссия до 3,000 долларов США, в зависимости от опасности проблемы и качества подготовки отчета.

По заявлению компании, отчеты об ошибках должны содержать запрос CodeQL, позволяющий создать шаблон уязвимого кода для обнаружения наличия аналогичной уязвимости в коде других проектов (CodeQL позволяет семантический анализ кода и формировать запросы для поиска конкретных структур) .


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.