昨天, 在GitHub Universe會議上 對於開發人員, GitHub 宣布將推出一項旨在提高開源生態系統安全性的新計劃。。 新程序稱為 GitHub上 安全實驗室 並允許來自不同公司的安全研究人員識別和修復流行開源項目的問題。
所有 感興趣的公司和安全專家 個人計算 你被邀請了 加入其中的倡議 來自的安全研究人員 F5、Google、HackerOne、英特爾、IOActive、摩根大通、LinkedIn、微軟、Mozilla、NCC Group、Oracle、Trail of Bits、Uber 和 VMWare, 他們在過去兩年中發現並幫助修復了 105 個項目中的漏洞,例如 Chromium、libssh2、Linux 內核、Memcached、UBoot、VLC、Apport、HHVM、Exiv2、FFmpeg、Fizz、libav、Ansible、npm、XNU、Ghostscript、Icecast、Apache Struts、strongSwan、Apache Ignite、rsyslog、Apache Geode 和哈杜普。
該公司表示:“安全實驗室的使命是激勵並幫助全球研究界確保程序代碼的安全。”
維護生命週期 GitHub提出的代碼的安全性 表示GitHub安全實驗室參與者將識別漏洞, 之後將問題信息傳達給解決問題的維護者和開發者,約定公開問題信息的時間,並告知依賴項目需要安裝消除漏洞的版本。
微軟發布 CodeQL,旨在查找開源代碼中的漏洞,供公眾使用。 該數據庫將託管 CodeQL 模板,以防止 GitHub 上的代碼中的已修復問題再次出現。
此外,GitHub 最近已成為 CVE 授權編號機構 (CNA)。 這意味著您可以為漏洞發布 CVE 標識符。 此功能已添加到名為“安全提示”的新服務中。
通過GitHub界面,您可以獲取CVE標識符 針對發現的問題並準備一份報告,GitHub 將自行發送必要的通知並安排協調修復。 另外,問題解決後, GitHub將自動發送拉取請求以更新依賴關係 與脆弱的項目相關聯。
很多 CVE標識符 在GitHub的評論中提到 現在自動引用有關該漏洞的詳細信息 在提交的數據庫中。 為了自動化數據庫工作,建議使用單獨的 API。
GitHub上 還提供了GitHub諮詢數據庫漏洞目錄, 它發布有關影響 GitHub 項目的漏洞的信息以及用於跟踪易受攻擊的包和存儲庫的信息。 安全諮詢數據庫名稱 將在GitHub上發布的將是GitHub諮詢數據庫。
它還報告了對該服務的升級,以防止進入可公開訪問的敏感信息存儲庫,例如身份驗證令牌和訪問密鑰。
在確認過程中,掃描儀會驗證 20 個雲提供商和服務使用的典型密鑰和令牌格式,包括 阿里雲 API、亞馬遜網絡服務 (AWS)、Azure、Google Cloud、Slack 和 Stripe。 如果檢測到令牌,則會向服務提供商發送請求以確認洩漏並撤銷受損的令牌。 從昨天開始,除了之前支持的格式外,還增加了對定義GoCardless、HashiCorp、Postman和騰訊代幣的支持
對於漏洞識別,提供高達 3,000 美元的費用, 取決於問題的危險性和報告準備的質量。
據該公司稱,錯誤報告必須包含 CodeQL 查詢,該查詢允許創建易受攻擊的代碼模板,以檢測其他項目代碼中是否存在類似漏洞(CodeQL 允許對代碼進行語義分析並形成查詢以搜索特定的結構) 。