Јуче, на конференцији ГитХуб Универсе за програмере, ГитХуб је најавио да ће покренути нови програм усмерен на побољшање сигурности екосистема отвореног кода. Нови програм се зове ГитХуб Сигурносна лабораторија и омогућава истраживачима безбедности из разних компанија да идентификују и решавају популарне пројекте отвореног кода.
све заинтересоване компаније и стручњаци за безбедност индивидуално рачунање Ти си позван да се придруже иницијативи којој истраживачи безбедности из Ф5, Гоогле, ХацкерОне, Интел, ИОАцтиве, ЈП Морган, ЛинкедИн, Мицрософт, Мозилла, НЦЦ Гроуп, Орацле, Траил оф Битс, Убер и ВМВаре, који су идентификовали и помогли у исправљању 105 рањивости у последње две године у пројектима као што су Цхромиум, либссх2, Линук кернел, Мемцацхед, УБоот, ВЛЦ, Аппорт, ХХВМ, Екив2, ФФмпег, Физз, либав, Ансибле, нпм, КСНУ, Гхостсцрипт, Ицецаст, Апацхе Струтс, стронгСван, Апацхе Игните, рсислог, Апацхе Геоде анд Хадооп.
„Мисија Лабораторије за сигурност је надахнути и омогућити глобалној истраживачкој заједници да осигура програмски код“, рекла је компанија.
Животни циклус одржавања сигурности кода који је предложио ГитХуб подразумева да ће учесници ГитХуб Сецурити Лаба идентификовати рањивости, након чега ће се информације о проблемима пренети одржавачу и програмерима који ће их решити, договорити се када ће открити информације о проблему и обавестити зависне пројекте о потреби инсталирања верзије са уклањањем рањивости.
Мицрософт објавио ЦодеКЛ, који је развијен за проналажење рањивости у отвореном коду, за јавну употребу. База података ће сместити ЦодеКЛ предлошке како би се избегла поновна појава фиксних проблема у коду присутном на ГитХуб-у.
Поред тога, ГитХуб је недавно постао ЦВЕ овлашћено тело за нумерисање (ЦНА). То значи да може издати ЦВЕ идентификаторе за рањивости. Ова функција је додата новој услузи названој »Безбедносни савети«.
Преко ГитХуб интерфејса можете добити ЦВЕ идентификатор за идентификовани проблем и припреми извештај, а ГитХуб ће сам послати потребна обавештења и организовати њихову координисану исправку. Такође, након решавања проблема, ГитХуб ће аутоматски послати захтеве за повлачење за ажурирање зависности повезан са рањивим пројектом.
Л ЦВЕ идентификатори поменуто у коментарима на ГитХуб-у сада се аутоматски позивају на детаљне информације о рањивости у достављеној бази података. Да би се аутоматизовао рад са базом података, предлаже се посебан АПИ.
ГитХуб је такође представио ГитХуб каталог рањивости саветодавне базе података, која објављује информације о рањивостима које утичу на ГитХуб пројекте и информације за праћење рањивих пакета и спремишта. Назив базе података о безбедносном саветовању која ће бити на ГитХуб-у, биће ГитХуб-ова саветодавна база података.
Такође је известио о ажурирању услуге заштите од добијања поверљивих информација попут токена за потврду идентитета и приступних кључева у јавно доступном спремишту.
Током потврде скенер проверава типичне формате кључева и токена које користи 20 добављача и услуга у облаку, укључујући АПИ за Алибаба Цлоуд, Амазон Веб Сервицес (АВС), Азуре, Гоогле Цлоуд, Слацк и Стрипе. Ако се открије токен, добављачу услуга се шаље захтев за потврду цурења и опозив угрожених токена. Од јуче је, поред претходно подржаних формата, додата и подршка за дефинисање ГоЦардлесс, ХасхиЦорп, Постман и Тенцент токена
За идентификацију рањивости предвиђена је накнада до 3,000 УСД, у зависности од опасности од проблема и квалитета припреме извештаја.
Према компанији, извештаји о грешкама треба да садрже ЦодеКЛ упит који омогућава стварање рањивог шаблона кода за откривање присуства сличне рањивости у коду других пројеката (ЦодеКЛ омогућава семантичку анализу кода и упите у облику за тражење специфичних структура) .