GitHub Security Lab - GitHub запустив спільний проект для виявлення вразливостей у відкритому ПЗ
GitHub Security Lab - GitHub запустив спільний проект для виявлення вразливостей у відкритому ПЗ
GitHub виступив з ініціативою GitHub Security Lab, націленою на організацію спільної роботи експертів з безпеки з різних компаній та організацій для виявлення вразливостей та сприяння їх усуненню в коді відкритих проектів.
Для підключення до ініціативи запрошуються усі зацікавлені компанії та індивідуальні фахівці з комп'ютерної безпеки. За виявлення вразливості передбачена виплата винагороди розміром до 3000 доларів, залежно від небезпеки проблеми та якості підготовки звіту. Для надсилання відомостей про проблеми пропонується використовувати інструментарій CodeQL, що дозволяє сформувати шаблон вразливого коду для виявлення наявності такої вразливості в коді інших проектів (CodeQL дає можливість проводити семетичний аналіз коду та формувати запити для пошуку певних конструкцій).
До ініціативи вже приєдналися дослідники безпеки з компаній F5, Google, HackerOne, Intel, IOActive, J.P. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber і VMWare, які за останні два роки виявили і допомогли виправити 105 вразливостей у таких проектах, як Chromium, libssh2, ядрі Linux, Memcached, UBoot Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode та Hadoop.
Запропонований у GitHub життєвий цикл підтримки безпеки коду передбачає, що учасники GitHub Security Lab виявлятимуть уразливості, після цього інформація про проблеми буде доводитися до мейнтейнерів та розробників, які вироблятимуть виправлення, погоджувати час розголошення відомостей про проблему та інформувати залежні проекти про необхідність встановлення версії з усуненням уразливості. В базі будуть розміщуватися CodeQL-шаблони, що дозволяють не допустити повторної появи усунених проблем у присутньому на GitHub коді.
Через інтерфейс GitHub тепер можна отримати CVE-ідентифікатор для виявленої проблеми та підготувати звіт, а GitHub вже сам розішле необхідні повідомлення та організує їх скоординоване виправлення. Більше того, після усунення проблеми GitHub автоматично надішле pull-запити для оновлення пов'язаних із вразливим проектом залежностей.
GitHub також ввів у стій каталог уразливостей GitHub Advisory Database, в якому публікуються відомості про вразливості, що стосуються проектів на GitHub, та інформація для відстеження схильних до проблем пакетів і репозиторіїв. Згадані в коментарях на GitHub CVE-ідентифікатори автоматично посилаються на детальну інформацію про вразливість у представленій БД. Для автоматизації роботи з БД запропонований окремий API.
Також повідомляється про оновлення сервісу для захисту від попадання в публічно доступні репозиторії конфіденційних даних, таких як токени аутентифікації та ключі доступу. Під час комміту сканер перевіряє типові формати ключів і токенів, які використовуються 20 хмарними провідниками та сервісами, включаючи API Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack та Stripe. У разі виявлення токена сервіс-провайдеру надсилається запит для підтвердження витоку та відкликання скомпрометованих токенів. З учорашнього дня, крім форматів, що раніше підтримуються, додана підтримка визначення токенів GoCardless, HashiCorp, Postman і Tencent.
.jpg)
