Вчора, на конференції GitHub Universe для розробників, GitHub оголосив, що запустить нову програму, спрямовану на підвищення безпеки екосистеми з відкритим кодом. Нова програма називається GitHub Лабораторія безпеки і дозволяє дослідникам безпеки з різних компаній виявляти та усувати неполадки популярних проектів з відкритим кодом.
всі зацікавлені компанії та фахівці з безпеки індивідуальні обчислення Ви запрошені приєднатися до ініціативи до якої дослідники безпеки з F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber та VMWare, які виявили та допомогли виправити 105 уразливостей за останні два роки в таких проектах, як Chromium, libssh2, ядро Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode and Hadoop.
"Місія" Лабораторії безпеки "полягає в тому, щоб надихнути та дати можливість світовому дослідницькому співтовариству захистити програмний код", - заявила компанія.
Життєвий цикл обслуговування безпеки коду, запропонованого GitHub передбачає, що учасники GitHub Security Lab виявлять вразливі місця, після чого інформація про проблеми буде повідомлена супровіднику та розробникам, які будуть вирішувати проблеми, узгоджувати час розголошення інформації про проблему та інформувати залежні проекти про необхідність встановлення версії з видаленням вразливість.
Microsoft випустила CodeQL, розроблений для пошуку вразливостей у відкритому коді, для загального користування. У базі даних будуть розміщені шаблони CodeQL, щоб уникнути повторної появи виправлених проблем у коді, присутньому на GitHub.
Крім того, GitHub нещодавно став уповноваженим органом нумерації CVE. Це означає, що він може видавати ідентифікатори CVE для вразливостей. Ця функція була додана до нової послуги під назвою «Поради щодо безпеки».
Через інтерфейс GitHub ви можете отримати ідентифікатор CVE для виявленої проблеми та підготувати звіт, а GitHub самостійно надішле необхідні сповіщення та організує їх скоординоване виправлення. Крім того, після усунення проблеми, GitHub автоматично надсилатиме запити на витягування для оновлення залежностей пов'язані з вразливим проектом.
L Ідентифікатори CVE згадується в коментарях на GitHub тепер автоматично посилаються на детальну інформацію про вразливість у поданій базі даних. Для автоматизації роботи з базою даних пропонується окремий API.
GitHub також представлений Каталог вразливостей до довідкової бази даних GitHub, який публікує інформацію про вразливості, що впливають на проекти GitHub, та інформацію для відстеження вразливих пакетів та сховищ. Назва бази даних консалтингу з питань безпеки що буде на GitHub, буде Консультативна база даних GitHub.
Він також повідомив про оновлення служби захисту від отримання конфіденційної інформації, наприклад, маркерів автентифікації та ключів доступу, у сховище загальнодоступного доступу.
Під час підтвердження сканер перевіряє типові формати ключів і токенів, що використовуються 20 хмарними провайдерами та послугами, в тому числі API Alibaba Cloud, веб-служби Amazon (AWS), Azure, Google Cloud, Slack та Stripe. Якщо виявлено маркер, постачальнику послуг надсилається запит на підтвердження витоку та скасування порушених токенів. З вчора, крім раніше підтримуваних форматів, додана підтримка для визначення токенів GoCardless, HashiCorp, Postman і Tencent
За ідентифікацію вразливості передбачена плата до 3,000 доларів США, залежно від небезпеки проблеми та якості підготовки звіту.
На думку компанії, звіти про помилки повинні містити запит CodeQL, який дозволяє створювати вразливий шаблон коду для виявлення наявності подібної вразливості в коді інших проектів (CodeQL дозволяє семантичний аналіз коду та запити форми для пошуку структур конкретні).