GitHub Security Lab hiji proyék pikeun ngaidentipikasi kerentanan dina perangkat lunak sumber kabuka

github-kaamanan-lab-hed

 

Kamari, dina konperénsi GitHub Universe pikeun pamekar, GitHub ngumumkeun yén éta bakal ngajalankeun program anyar anu ditujukeun pikeun ningkatkeun kaamanan ékosistem sumber terbuka. Program énggal disebat GitHub Lab Kaamanan sareng éta ngamungkinkeun panaliti kaamanan tina rupa-rupa perusahaan pikeun ngaidentipikasi sareng ngungkulan proyék sumber terbuka anu populér.

sadaya perusahaan anu resep sareng spesialis kaamanan komputasi individu anjeun diulem ngiringan inisiatif ka kang panaliti kaamanan ti F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber sareng VMWare, anu parantos ngaidentifikasi sareng ngabantosan ngabenerkeun 105 kerentanan dina dua taun terakhir dina proyek sapertos Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode sareng Hadoop.

"Misi Lab Kaamanan nyaéta pikeun mere ilham sareng ngamungkinkeun komunitas panaliti global pikeun ngamankeun kode program," saur perusahaan.

Siklus hirup pangropéa ngeunaan kaamanan kode anu diusulkeun ku GitHub ngakibatkeun yén pamilon Lab Kaamanan GitHub bakal ngaidentipikasi kerentanan, satutasna inpormasi ngeunaan masalah bakal dikomunikasikan ka pangropéa sareng pamekar anu bakal ngabéréskeun masalah, satuju iraha bade nyingkabkeun inpormasi ngeunaan masalah éta, sareng ngawartosan proyék-proyék gumantung ngeunaan perluna masang vérsi kalayan ngaleungitkeun kerentanan.

Microsoft dileupaskeun CodeQL, anu dikembangkeun pikeun milarian kerentanan dina kode sumber kabuka, kanggo panggunaan umum. Basis data bakal ngagaduhan témplat CodeQL pikeun nyegah munculna deui masalah anu tetep dina kode anu aya dina GitHub.

Salaku tambahan, GitHub nembe janten Otoritas Nomer Resmi CVE (CNA). Ieu ngandung harti yén éta tiasa ngaluarkeun identifier CVE pikeun kerentanan. Fitur ieu parantos ditambihan kana jasa énggal anu disebat »Tips Kaamanan«.

Ngaliwatan panganteur GitHub, anjeun tiasa kéngingkeun identifier CVE pikeun masalah anu diidentifikasi sareng nyiapkeun laporan, sareng GitHub bakal ngirim bewara anu diperyogikeun nyalira sareng ngatur koreksi anu dikoordinir na. Ogé, saatos ngalereskeun masalahna, GitHub otomatis bakal ngirim pamundut narik pikeun ngapdetkeun kagumantungan pakait sareng proyek rawan.

nu Identifier CVE disebatkeun dina koméntar dina GitHub ayeuna sacara otomatis tingal inpormasi lengkep ngeunaan kerentanan dina database anu dikintunkeun. Pikeun ngajadikeun otomatis gawé bareng database, diajukeun API misah.

GitHub ogé nampilkeun Katalog Kerentanan Basis Data GitHub, anu nyebarkeun inpormasi ngeunaan kerentanan mangaruhan proyék GitHub sareng inpormasi pikeun ngalacak bungkus sareng repositori anu rentan. Nami database konsultasi kaamanan anu bakal aya dina GitHub bakal janten GitHub Advisory Database.

Anjeunna ogé ngalaporkeun pembaruan jasa panyalindungan ngalawan kéngingkeun inpormasi rahasia, sapertos token auténtikasi sareng konci aksés, dina Repository anu tiasa diaksés ku masarakat.

Salami konfirmasi, scanner mariksa konci konci sareng format token anu dianggo ku 20 panyadia sareng jasa cloud, kalebet Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack, sareng Stripe. Upami token dideteksi, pamundut dikirim ka panyadia layanan pikeun mastikeun kabocoran sareng mencabut token anu dikompromikeun. Kusabab kamari, salian ti format anu didukung sateuacanna, dukungan parantos ditambihan pikeun nangtoskeun token GoCardless, HashiCorp, Postman sareng Tencent

Kanggo idéntifikasi kerentanan, biaya dugi ka $ 3,000 disayogikeun, gumantung kana bahaya masalah sareng kualitas persiapan laporan.

Numutkeun ka perusahaan, laporan bug kedah ngandung pamundut CodeQL anu ngamungkinkeun nyiptakeun témplat kode rentan pikeun ngadeteksi ayana kerentanan anu sami dina kode proyék sanés (CodeQL ngamungkinkeun analisis semantis kode sareng pamundut formulir pikeun milarian struktur khusus) .


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Janten kahiji komen

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun.

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.

bool (leres)