昨天, 在GitHub Universe会议上 对于开发人员, GitHub宣布将启动一项旨在提高开源生态系统安全性的新程序。 新程序称为 GitHub上 安全实验室 它使来自各种公司的安全研究人员能够确定流行的开源项目并对其进行故障排除。
所有 感兴趣的公司和安全专家 个人计算 你被邀请了 加入其中的倡议 来自的安全研究人员 F5,Google,HackerOne,Intel,IOActive,JP Morgan,LinkedIn,Microsoft,Mozilla,NCC Group,Oracle,Bit of Bits,Uber和VMWare, 在过去的两年中已发现并帮助纠正了105个漏洞,例如 Chromium,libssh2,Linux内核,Memcached,UBoot,VLC,Apport,HHVM,Exiv2,FFmpeg,Fizz,libav,Ansible,npm,XNU,Ghostscript,Icecast,Apache Struts,strongSwan,Apache Ignite,rsyslog,Apache Geode和Hadoop。
该公司表示:“安全实验室的任务是激发和使全球研究界能够保护程序代码。”
维护生命周期 GitHub提出的代码的安全性 表示GitHub安全实验室参与者将识别漏洞, 之后,有关问题的信息将传达给维护者和开发人员,他们将解决问题,商定何时披露有关问题的信息,并通知相关项目有关删除该版本的需要安装版本脆弱性。
微软发布 CodeQL旨在发现开放源代码中的漏洞以供公众使用。 该数据库将托管CodeQL模板,以避免出现在GitHub上的代码中已解决的固定问题。
此外,GitHub最近已成为CVE授权编号授权机构(CNA)。 这意味着它可以发布漏洞的CVE标识符。 此功能已添加到名为“安全提示”的新服务中。
通过GitHub界面,您可以获取CVE标识符 针对已确定的问题并准备报告,GitHub将自行发送必要的通知并安排其协调纠正。 而且,解决问题后 GitHub将自动发送拉取请求以更新依赖关系 与脆弱的项目相关联。
MGI CVE标识符 在GitHub的评论中提到 现在自动引用有关该漏洞的详细信息 在提交的数据库中。 为了自动处理数据库,建议使用单独的API。
GitHub上 还提供了GitHub咨询数据库漏洞目录, 它发布有关影响GitHub项目的漏洞的信息,以及跟踪易受攻击的软件包和存储库的信息。 安全咨询数据库的名称 将在GitHub上发布的将是GitHub咨询数据库。
他还报告了保护服务的更新,以防止在可公共访问的存储库中获取机密信息,例如身份验证令牌和访问密钥。
在确认期间,扫描程序将验证20个云提供商和服务使用的典型密钥和令牌格式,包括 阿里云API,亚马逊网络服务(AWS),Azure,谷歌云,Slack和Stripe。 如果检测到令牌,则将请求发送到服务提供商以确认泄漏并撤消已泄露的令牌。 从昨天开始,除了以前支持的格式外,还添加了对定义GoCardless,HashiCorp,Postman和腾讯令牌的支持
对于漏洞识别,需要提供最高3,000美元的费用, 取决于问题的危险性和报告准备的质量。
据该公司称,错误报告必须包含一个CodeQL查询,该查询允许创建易受攻击的代码模板,以检测其他项目的代码中是否存在类似漏洞(CodeQL允许对代码进行语义分析,并通过表单查询来搜索结构具体)。