GitHub ابتکار آزمایشگاه امنیتی GitHub را با هدف سازماندهی کار مشترک کارشناسان امنیتی شرکت ها و سازمان های مختلف برای شناسایی آسیب پذیری ها و کمک به از بین بردن آنها در کد منبع آزاد راه اندازی کرد.
از کلیه شرکت های علاقمند و متخصصان امنیت رایانه شخصی دعوت می شود تا به این ابتکار عمل کنند. برای شناسایی آسیب پذیری بسته به خطر مشکل و کیفیت تهیه گزارش ، هزینه ای بالغ بر 3000 دلار ارائه می شود. برای ارسال اطلاعات در مورد مشکلات ، پیشنهاد می شود از مجموعه ابزار CodeQL استفاده کنید ، که به شما امکان می دهد یک الگوی کد آسیب پذیر ایجاد کنید تا وجود یک آسیب پذیری مشابه را در کد سایر پروژه ها تشخیص دهید (CodeQL امکان انجام تجزیه و تحلیل کد معنایی و ایجاد پرس و جوها را برای جستجوی ساختارهای خاص فراهم می کند).
محققان امنیتی F5 ، Google ، HackerOne ، Intel ، IOActive و J.P قبلاً به این ابتکار عمل پیوستند. Morgan، LinkedIn، Microsoft، Mozilla، NCC Group، Oracle، Trail of Bits، Uber و
VMWare ، که طی دو سال گذشته 105 آسیب پذیری را در پروژه هایی مانند Chromium ، libssh2 ، هسته Linux ، Memcached ، UBoot ، VLC ، Apport، HHVM، Exiv2، FFmpeg، Fizz، libav، Ansable، npm، XNU، Ghostscript شناسایی و کمک کرده است. ، Icecast ، Apache Struts ، strongSwan ، Apache Ignite ، rsyslog ، Apache Geode و Hadoop.
چرخه حیات امنیتی کد پیشنهادی GitHub حاکی از آن است که مشارکت کنندگان آزمایشگاه امنیتی GitHub آسیب پذیری را شناسایی می کنند ، پس از آن موضوعات به نگهدارنده ها و توسعه دهندگان گزارش می شود که اصلاحات را انجام می دهند ، درباره زمان افشای این موضوع به توافق برسند و پروژه های وابسته را به آنها اطلاع دهند. نیاز به نصب نسخه رفع آسیب پذیری این پایگاه داده برای جلوگیری از بروز دوباره مشکلات برطرف شده در کد موجود در GitHub ، میزبان الگوهای CodeQL خواهد بود.
از طریق رابط GitHub ، هم اکنون می توانید یک شناسه CVE برای مشکل شناسایی شده تهیه کرده و گزارشی تهیه کنید ، و GitHub به طور خودکار اعلان های لازم را ارسال می کند و ترتیب اصلاح هماهنگی آنها را ترتیب می دهد. علاوه بر این ، پس از رفع مشکل ، GitHub به طور خودکار درخواست های کشش را برای به روز کردن وابستگی های مرتبط با پروژه آسیب پذیر ارسال می کند.
GitHub همچنین کاتالوگ آسیب پذیری پایگاه داده مشورتی GitHub را معرفی کرده است ، که اطلاعاتی در مورد آسیب پذیری های تأثیرگذار بر پروژه های GitHub و اطلاعات مربوط به ردیابی بسته ها و مخازن آسیب پذیر را منتشر می کند. شناسه CVE که در نظرات در مورد GitHub ذکر شده است ، اکنون به طور خودکار به اطلاعات دقیق در مورد آسیب پذیری در پایگاه داده ارسالی مراجعه می کند. برای خودکارسازی کار با بانک اطلاعاتی ، یک API جداگانه پیشنهاد شده است.
همچنین گزارش شده یک به روز رسانی برای سرویس برای محافظت در برابر ورود به مخازن عمومی است
اطلاعات محرمانه مانند نشانه های تأیید اعتبار و کلیدهای دسترسی. در حین ارتکاب ، اسکنر قالبهای اصلی کلید و نشان را که توسط 20 ارائه دهنده خدمات و خدمات ابری استفاده می شود ، از جمله Alibaba Cloud API ، خدمات وب آمازون (AWS) ، لاجوردی ، Google Cloud ، Slack و Stripe بررسی می کند. در صورت شناسایی یک نشانه ، درخواستی برای تأیید نشت و ابطال نشانه های مصالحه به ارائه دهنده خدمات ارسال می شود. از دیروز ، علاوه بر قالبهای پشتیبانی شده قبلی ، پشتیبانی از تعریف علائم GoCardless ، HashiCorp ، Postman و Tencent اضافه شده است.
OpenNET
نظر شما