I går, på GitHub Universe-konferensen för utvecklare, GitHub meddelade att de kommer att lansera ett nytt program som syftar till att förbättra säkerheten för ekosystemet med öppen källkod.. Det nya programmet heter GitHub Säkerhetslaboratorium och låter säkerhetsforskare från en mängd olika företag identifiera och åtgärda problem med populära projekt med öppen källkod.
allt Intresserade företag och säkerhetsspecialister individuell beräkning du är inbjuden att ansluta sig till initiativet som säkerhetsforskare har redan anslutit sig F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber och VMWare, som har identifierat och hjälpt till att åtgärda 105 sårbarheter under de senaste två åren i projekt som Chromium, libssh2, Linux-kärnan, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode, hadoop.
"Säkerhetslabbets uppdrag är att inspirera och göra det möjligt för det globala forskarsamhället att säkra programkod", sa företaget.
Underhållets livscykel kodsäkerhet föreslagen av GitHub innebär att deltagare i GitHub Security Lab kommer att identifiera sårbarheter, varefter informationen om problemen kommer att kommuniceras till underhållarna och utvecklarna som kommer att lösa problemen, komma överens om tidpunkten för att lämna ut information om problemet och informera de beroende projekten om behovet av att installera versionen med borttagande av sårbarheten.
Microsoft släppte CodeQL, som utvecklades för att hitta sårbarheter i öppen källkod, för allmänt bruk. Databasen kommer att vara värd för CodeQL-mallar för att förhindra att åtgärdade problem återkommer i kod som finns på GitHub.
Dessutom har GitHub nyligen blivit en CVE Authorised Numbering Authority (CNA). Det betyder att du kan utfärda CVE-identifierare för sårbarheter. Denna funktion har lagts till i en ny tjänst som heter "säkerhetstips".
Genom GitHub-gränssnittet kan CVE-identifieraren erhållas för det identifierade problemet och förbered en rapport, så skickar GitHub de nödvändiga aviseringarna själv och ordnar deras samordnade lösning. Dessutom, efter att ha åtgärdat problemet, GitHub kommer automatiskt att skicka pull-förfrågningar för att uppdatera beroenden kopplat till det utsatta projektet.
mycket CVE-identifierare Nämnd i kommentarer på GitHub hänvisar nu automatiskt till detaljerad information om sårbarheten i den inlämnade databasen. För att automatisera arbetet med databasen föreslås ett separat API.
GitHub innehöll också GitHub Advisory Database Vulnerability Catalog, som publicerar information om sårbarheter som påverkar GitHub-projekt och information för att spåra sårbara paket och arkiv. Namnet på säkerhetsrådgivningsdatabasen som kommer att finnas på GitHub kommer att vara GitHub Advisory Database.
Den rapporterade också uppgraderingen till tjänsten för att skydda mot att komma in i ett offentligt tillgängligt förråd av känslig information, såsom autentiseringstokens och åtkomstnycklar.
Under bekräftelsen verifierar skannern typiska nyckel- och tokenformat som används av 20 molnleverantörer och tjänster, inklusive Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack och Stripe. Om en token upptäcks skickas en begäran till tjänsteleverantören för att bekräfta läckan och återkalla de komprometterade tokens. Sedan igår, förutom de tidigare stödda formaten, har stöd för att definiera GoCardless, HashiCorp, Postman och Tencent tokens lagts till
För identifiering av sårbarhet tillhandahålls en avgift på upp till $3,000 XNUMX, beroende på faran med problemet och kvaliteten på utarbetandet av rapporten.
Enligt företaget måste buggrapporter innehålla en CodeQL-fråga som gör det möjligt att skapa en sårbar kodmall för att upptäcka närvaron av en liknande sårbarhet i koden för andra projekt (CodeQL tillåter semantisk analys av koden och formulärfrågor för att söka efter strukturer som är specifika) .