நேற்று, கிட்ஹப் யுனிவர்ஸ் மாநாட்டில் டெவலப்பர்களுக்கு, திறந்த மூல சுற்றுச்சூழல் அமைப்பின் பாதுகாப்பை மேம்படுத்துவதை நோக்கமாகக் கொண்ட புதிய திட்டத்தை தொடங்கப்போவதாக கிட்ஹப் அறிவித்தது. புதிய திட்டம் என்று அழைக்கப்படுகிறது மகிழ்ச்சியா பாதுகாப்பு ஆய்வகம் மேலும் பிரபலமான திறந்த மூல திட்டங்களை அடையாளம் காணவும் சரிசெய்யவும் பல்வேறு நிறுவனங்களின் பாதுகாப்பு ஆராய்ச்சியாளர்களுக்கு இது உதவுகிறது.
அனைத்து ஆர்வமுள்ள நிறுவனங்கள் மற்றும் பாதுகாப்பு நிபுணர்கள் தனிப்பட்ட கணினி நீங்கள் அழைக்கப்பட்டுள்ளீர்கள் எந்த முயற்சியில் சேர பாதுகாப்பு ஆராய்ச்சியாளர்கள் எஃப் 5, கூகிள், ஹேக்கர்ஒன், இன்டெல், ஐஓஆக்டிவ், ஜேபி மோர்கன், லிங்க்ட்இன், மைக்ரோசாப்ட், மொஸில்லா, என்சிசி குழு, ஆரக்கிள், டிரெயில் ஆஃப் பிட்கள், உபெர் மற்றும் விஎம்வேர், போன்ற திட்டங்களில் கடந்த இரண்டு ஆண்டுகளில் 105 பாதிப்புகளை அடையாளம் கண்டு சரிசெய்ய உதவியுள்ளன Chromium, libssh2, Linux kernel, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode.
"பாதுகாப்பு ஆய்வகத்தின் நோக்கம் உலகளாவிய ஆராய்ச்சி சமூகத்தை நிரல் குறியீட்டைப் பாதுகாக்க ஊக்குவிப்பதும் செயல்படுத்துவதும் ஆகும்" என்று நிறுவனம் தெரிவித்துள்ளது.
பராமரிப்பு வாழ்க்கை சுழற்சி கிட்ஹப் முன்மொழியப்பட்ட குறியீட்டின் பாதுகாப்பு கிட்ஹப் பாதுகாப்பு ஆய்வக பங்கேற்பாளர்கள் பாதிப்புகளை அடையாளம் காண்பார்கள் என்பதைக் குறிக்கிறது, அதன் பின்னர் சிக்கல்களைப் பற்றிய தகவல்கள் பராமரிப்பாளருக்கும் டெவலப்பர்களுக்கும் தெரிவிக்கப்படும், அவை சிக்கல்களைத் தீர்க்கும், சிக்கலைப் பற்றிய தகவல்களை எப்போது வெளியிட வேண்டும் என்பதை ஒப்புக்கொள்கின்றன, மேலும் பாதிப்பை நீக்குவதன் மூலம் பதிப்பை நிறுவ வேண்டியதன் அவசியத்தைப் பொறுத்து இருக்கும் திட்டங்களுக்குத் தெரிவிக்கும்.
மைக்ரோசாப்ட் வெளியிட்டது CodeQL, இது திறந்த மூலக் குறியீட்டில் உள்ள பாதிப்புகளைக் கண்டறிய, பொது பயன்பாட்டிற்காக உருவாக்கப்பட்டது. GitHub இல் உள்ள குறியீட்டில் நிலையான சிக்கல்கள் மீண்டும் தோன்றுவதைத் தவிர்க்க தரவுத்தளம் CodeQL வார்ப்புருக்களை வழங்கும்.
கூடுதலாக, கிட்ஹப் சமீபத்தில் ஒரு சி.வி.இ அங்கீகரிக்கப்பட்ட எண் ஆணையம் (சி.என்.ஏ) ஆனது. இது பாதிப்புகளுக்கு சி.வி.இ அடையாளங்காட்டிகளை வழங்க முடியும் என்பதாகும். இந்த அம்சம் »பாதுகாப்பு உதவிக்குறிப்புகள் called என்ற புதிய சேவையில் சேர்க்கப்பட்டுள்ளது.
கிட்ஹப் இடைமுகத்தின் மூலம், நீங்கள் சி.வி.இ அடையாளங்காட்டியைப் பெறலாம் அடையாளம் காணப்பட்ட சிக்கலுக்கு ஒரு அறிக்கையைத் தயாரிக்கவும், GitHub தேவையான அறிவிப்புகளைத் தானாகவே அனுப்பி அவற்றின் ஒருங்கிணைந்த திருத்தத்தை ஏற்பாடு செய்யும். மேலும், சிக்கலை சரிசெய்த பிறகு, சார்புகளை புதுப்பிக்க GitHub தானாக இழுக்கும் கோரிக்கைகளை அனுப்பும் பாதிக்கப்படக்கூடிய திட்டத்துடன் தொடர்புடையது.
தி சி.வி.இ அடையாளங்காட்டிகள் கிட்ஹப் பற்றிய கருத்துகளில் குறிப்பிடப்பட்டுள்ளது இப்போது தானாகவே பாதிப்பு பற்றிய விரிவான தகவல்களைக் குறிப்பிடவும் சமர்ப்பிக்கப்பட்ட தரவுத்தளத்தில். தரவுத்தளத்துடன் வேலையை தானியக்கமாக்க, ஒரு தனி ஏபிஐ முன்மொழியப்பட்டது.
மகிழ்ச்சியா கிட்ஹப் ஆலோசனை தரவுத்தள பாதிப்புகளின் பட்டியலும் இடம்பெற்றது, இது கிட்ஹப் திட்டங்களை பாதிக்கும் பாதிப்புகள் பற்றிய தகவல்களையும் பாதிக்கப்படக்கூடிய தொகுப்புகள் மற்றும் களஞ்சியங்களைக் கண்காணிப்பதற்கான தகவல்களையும் வெளியிடுகிறது. பாதுகாப்பு ஆலோசனை தரவுத்தளத்தின் பெயர் அது கிட்ஹப்பில் இருக்கும் என்பது கிட்ஹப் ஆலோசனை தரவுத்தளமாக இருக்கும்.
பொது அணுகல் களஞ்சியத்தில் அங்கீகார டோக்கன்கள் மற்றும் அணுகல் விசைகள் போன்ற ரகசிய தகவல்களைப் பெறுவதற்கு எதிராக பாதுகாப்பு சேவையின் புதுப்பிப்பை இது அறிவித்தது.
உறுதிப்படுத்தலின் போது, ஸ்கேனர் 20 மேகக்கணி வழங்குநர்கள் மற்றும் சேவைகளால் பயன்படுத்தப்படும் பொதுவான விசை மற்றும் டோக்கன் வடிவங்களை சரிபார்க்கிறது அலிபாபா கிளவுட் ஏபிஐ, அமேசான் வலை சேவைகள் (ஏ.டபிள்யூ.எஸ்), அஸூர், கூகிள் கிளவுட், ஸ்லாக் மற்றும் ஸ்ட்ரைப். ஒரு டோக்கன் கண்டறியப்பட்டால், கசிவை உறுதிப்படுத்தவும் சமரசம் செய்யப்பட்ட டோக்கன்களை ரத்து செய்யவும் சேவை வழங்குநருக்கு கோரிக்கை அனுப்பப்படும். நேற்று முதல், முன்னர் ஆதரிக்கப்பட்ட வடிவங்களுக்கு கூடுதலாக, கோகார்ட்லெஸ், ஹாஷிகார்ப், போஸ்ட்மேன் மற்றும் டென்சென்ட் டோக்கன்களை வரையறுக்க ஆதரவு சேர்க்கப்பட்டுள்ளது.
பாதிப்பு அடையாளம் காண, $ 3,000 வரை கட்டணம் வழங்கப்படுகிறது, சிக்கலின் ஆபத்து மற்றும் அறிக்கை தயாரிப்பின் தரம் ஆகியவற்றைப் பொறுத்து.
நிறுவனத்தின் கூற்றுப்படி, பிழை அறிக்கைகள் ஒரு குறியீட்டு வினவலைக் கொண்டிருக்க வேண்டும், இது பிற திட்டங்களின் குறியீட்டில் இதேபோன்ற பாதிப்பு இருப்பதைக் கண்டறிய ஒரு பாதிக்கப்படக்கூடிய குறியீடு வார்ப்புருவை உருவாக்க அனுமதிக்கிறது (குறியீட்டின் சொற்பொருள் பகுப்பாய்வையும் குறியீட்டு முறைகளையும் குறிப்பிட்ட கட்டமைப்புகளைத் தேட அனுமதிக்கிறது) .