GitHub Security Lab一個項目,用於識別開源軟件中的漏洞

github-安全實驗室-hed

 

昨天, 在GitHub Universe會議上 對於開發人員, GitHub宣布將啟動一項旨在提高開源生態系統安全性的新程序。 新程序稱為 GitHub上 安全實驗室 它使來自各種公司的安全研究人員能夠確定流行的開源項目並對其進行故障排除。

所有 感興趣的公司和安全專家 個人計算 你被邀請了 加入其中的倡議 來自的安全研究人員 F5,Google,HackerOne,Intel,IOActive,JP Morgan,LinkedIn,Microsoft,Mozilla,NCC Group,Oracle,Bits of Bits,Uber和VMWare, 在過去的兩年中已發現並幫助糾正了105個漏洞,例如 Chromium,libssh2,Linux內核,Memcached,UBoot,VLC,Apport,HHVM,Exiv2,FFmpeg,Fizz,libav,Ansible,npm,XNU,Ghostscript,Icecast,Apache Struts,strongSwan,Apache Ignite,rsyslog,Apache Geode和Hadoop。

該公司表示:“安全實驗室的任務是激發和使全球研究界能夠保護程序代碼。”

維護生命週期 GitHub提出的代碼的安全性 表示GitHub安全實驗室參與者將識別漏洞, 之後,有關問題的信息將傳達給維護者和開發人員,他們將解決問題,商定何時披露有關問題的信息,並通知相關項目有關刪除該版本的需要安裝版本脆弱性。

微軟發布 CodeQL旨在發現開放源代碼中的漏洞以供公眾使用。 該數據庫將託管CodeQL模板,以避免出現在GitHub上的代碼中已解決的固定問題。

此外,GitHub最近已成為CVE授權編號授權機構(CNA)。 這意味著它可以發布漏洞的CVE標識符。 此功能已添加到名為“安全提示”的新服務中。

通過GitHub界面,您可以獲取CVE標識符 針對已發現的問題並準備報告,GitHub將自行發送必要的通知並組織其協調的更正。 而且,解決問題後 GitHub將自動發送拉取請求以更新依賴關係 與脆弱的項目相關聯。

很多 CVE標識符 在GitHub的評論中提到 現在自動引用有關該漏洞的詳細信息 在提交的數據庫中。 為了自動處理數據庫,提出了一個單獨的API。

GitHub上 還提供了GitHub諮詢數據庫漏洞目錄, 它發布有關影響GitHub項目的漏洞的信息以及跟踪易受攻擊的程序包和存儲庫的信息。 安全諮詢數據庫的名稱 將在GitHub上發布的將是GitHub諮詢數據庫。

它還報告了保護服務的更新,以防止在公共訪問存儲庫中獲取機密信息,例如身份驗證令牌和訪問密鑰。

在確認期間,掃描程序將驗證20個雲提供商和服務使用的典型密鑰和令牌格式,包括 阿里雲API,亞馬遜網絡服務(AWS),Azure,谷歌云,Slack和Stripe。 如果檢測到令牌,則將請求發送到服務提供商以確認洩漏並撤消已洩露的令牌。 從昨天開始,除了以前支持的格式外,還添加了對定義GoCardless,HashiCorp,Postman和騰訊令牌的支持

對於漏洞識別,需要提供最高3,000美元的費用, 取決於問題的危險性和報告準備的質量。

據該公司稱,錯誤報告必須包含一個CodeQL查詢,該查詢允許創建易受攻擊的代碼模板,以檢測其他項目的代碼中是否存在類似漏洞(CodeQL允許對代碼進行語義分析,並通過表單查詢來搜索結構具體)。


本文內容遵循我們的原則 編輯倫理。 要報告錯誤,請單擊 這裡.

成為第一個發表評論

發表您的評論

您的電子郵件地址將不會被發表。

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。