GitHub запустил совместный проект для выявления уязвимостей в открытом ПО

15.11.2019 12:54

GitHub выступил с инициативой GitHub Security Lab, нацеленной на организацию совместной работы экспертов по безопасности из различных компаний и организаций для выявления уязвимостей и содействию по их устранению в коде открытых проектов.

Для подключения к инициативе приглашаются все заинтересованные компании и индивидуальные специалисты по компьютерной безопасности. За выявление уязвимости предусмотрена выплата вознаграждения размером до 3000 долларов, в зависимости от опасности проблемы и качества подготовки отчёта. Для отправки сведений о проблемах предлагается использовать инструментарий CodeQL, позволяющий сформировать шаблон уязвимого кода для выявления наличия подобной уязвимости в коде других проектов (CodeQL даёт возможность проводить семантический анализ кода и формировать запросы для поиска определённых конструкций).

К инициативе уже присоединились исследователи безопасности из компаний F5, Google, HackerOne, Intel, IOActive, J.P. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber и VMWare, которые за последние два года выявили и помогли исправить 105 уязвимостей в таких проектах, как Chromium, libssh2, ядре Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode и Hadoop.

Предложенный в GitHub жизненный цикл поддержания безопасности кода подразумевает, что участники GitHub Security Lab будут выявлять уязвимости, после этого информация о проблемах будет доводиться до мэйнтейнеров и разработчиков, которые будут вырабатывать исправления, согласовывать время разглашения сведений о проблеме и информировать зависимые проекты о необходимости установки версии с устранением уязвимости. В базе будут размещаться CodeQL-шаблоны, позволяющие недопустить повторное появление устранённых проблем в присутствующем на GitHub коде.

Через интерфейс GitHub теперь можно получить CVE-идентификатор для выявленной проблемы и подготовить отчёт, а GitHub уже сам разошлёт необходимые уведомления и организует их скоординированное исправление. Более того, после устранения проблемы GitHub автоматически отправит pull-запросы для обновления связанных с уязвимым проектом зависимостей.

GitHub также ввёл в строй каталог уязвимостей GitHub Advisory Database, в котором публикуются сведения о уязвимостях, затрагивающих проекты на GitHub, и информация для отслеживания подверженных проблемам пакетов и репозиториев. Упоминаемые в комментариях на GitHub CVE-идентификаторы автоматически теперь ссылаются на детальную информацию об уязвимости в представленной БД. Для автоматизации работы с БД предложен отдельный API.

Также сообщается об обновлении сервиса для защиты от попадания в публично доступные репозитории конфиденциальных данных, таких как токены аутентификации и ключи доступа. Во время коммита сканер проверяет типовые форматы ключей и токенов, используемые 20 облачными провадерами и сервисами, включая API Alibaba Cloud, Amazon Web Services (AWS), Azure, Google Cloud, Slack и Stripe. В случае выявления токена сервис-провайдеру направляется запрос для подтверждения утечки и отзыва скомпрометированных токенов. Со вчерашнего дня, помимо ранее поддерживаемых форматов, добавлена поддержка определения токенов GoCardless, HashiCorp, Postman и Tencent.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/51867-github

Ключевые слова: github

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (60)

1.1, InuYasha (?), 14:24, 15/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Похоже, на какое-то время это станет киллер-фичей ЖытХаба. (но всё равно на него не перееду)

2.5, Аноним (5), 14:52, 15/11/2019 [^] [^^] [^^^] [ответить]	+1 +/–
А куда переедешь?

3.7, Аноним (7), 15:06, 15/11/2019 [^] [^^] [^^^] [ответить]	+10 +/–
Мы с CVS не перезжали, неча и начинать

4.13, Аноним (13), 15:55, 15/11/2019 [^] [^^] [^^^] [ответить]	+/–
Уже поздно переезжать скоро и проект закрывать.

5.61, Аноним (61), 08:18, 18/11/2019 [^] [^^] [^^^] [ответить]	+1 +/–
... В релиз сдавать.

3.11, Andrey Mitrofanov_N0 (??), 15:35, 15/11/2019 [^] [^^] [^^^] [ответить]	+/–
> А куда переедешь? " Куда переехал, не помню. Наверное был я ^W^W не на мс-хабб. "

3.35, InuYasha (?), 21:42, 15/11/2019 [^] [^^] [^^^] [ответить]	+1 +/–
А зачем? Поднял свой гит - и всё.

1.23, Аноним (23), 17:17, 15/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
А тем временем Red Hat уже второй месяц активно рассылает письма "Don't be fooled. Free software can be expensive.".

2.28, имя_ (?), 17:53, 15/11/2019 [^] [^^] [^^^] [ответить]	+/–
и что это значит?

3.30, Аноним (30), 18:35, 15/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
> и что это значит? ex- — наружу pensive — печальный

4.38, Восилий Шмартеншпенц (?), 23:04, 15/11/2019 [^] [^^] [^^^] [ответить]	+/–
когда это ex- стало "наружу", вместо "бывший"? И pensive всегда было "находящийся в глубоких раздумьях", что только тангенциально намекает на "печальный", но не всегда это подразумевает.

5.46, Аноним (30), 11:10, 16/11/2019 [^] [^^] [^^^] [ответить]

–1 +/–

> когда это ex- стало "наружу"

Когда появился экспорт.

> И pensive всегда было

Вселенная на многие порядки старше латыни, где pensio, как это ни странно, "платёж".

6.51, Ананас (?), 15:34, 16/11/2019 [^] [^^] [^^^] [ответить]

+/–

>Когда появился экспорт.

Экспорт куда? ‘Наружу’. Бывший почему? ‘Снаружи’. Таким образом, раз мы уже пали до латинских производных, то это ‘out of’, ‘снаружи’.

>Вселенная на многие порядки старше >латыни, где pensio, как это ни странно, >"платёж".

Странно. Я всегда думал, что pensive был заимствован в английский из французского pensif <- penser. А это уже пришло из латинского pensare, что есть ‘ponder’.

7.53, Аноним (30), 16:34, 16/11/2019 [^] [^^] [^^^] [ответить]	+/–
Печься можно в духовке, а можно о ком-то. Или же можно дойти до того, что обеспеченный -- это тот, у кого отняли печь или печень. :)

1.31, n1rdeks (ok), 18:43, 15/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Это конец приватности. Кто не свалил...

2.32, Аноним84701 (ok), 19:11, 15/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
> Это конец приватности. Пользователям МС-продуктов вроде как не привыкать? https://privacy.microsoft.com/en-us/privacystatement > The data we collect can include the following: > Name and contact data. Your first and last name, email address, postal address, phone number, and other similar contact data. > Credentials. Passwords, password hints, and similar security information used for authentication and account access. > Demographic data. Data about you such as your age, gender, country, and preferred language. > Payment and account history. Data about the items you purchase and activities associated with your account. > Browse history. Data about the webpages you visit.

3.45, Онаним (?), 03:51, 16/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Ничего что Гугл и Фейспук занимаются тем же самым, собственно как и Ябл?

4.48, MS (??), 12:03, 16/11/2019 [^] [^^] [^^^] [ответить]

–1 +/–

> Ничего что Гугл и Фейспук занимаются тем же самым, собственно как и
> Ябл?

конечно нет - они корпорации делания правой рукой, а мы - как каждому известно, корпорация зла!

5.55, сосо (?), 21:04, 16/11/2019 [^] [^^] [^^^] [ответить]	+1 +/–
А тем временем вы просто будете покудахчете и ни с одними ни с другими делать ничего не будете.

4.49, Аноним84701 (ok), 14:25, 16/11/2019 [^] [^^] [^^^] [ответить]

+2 +/–

> Ничего что Гугл и Фейспук занимаются тем же самым, собственно как и Ябл?

Э-э-э ... и?
Если вас силой заставляют использовать продукты/сервисы Гугл, МС, Фейсбук или Ябла, моргните два раза!

5.62, Аноним (61), 08:33, 18/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Да хоть сто 1 будто есть настолько известные раскрученные альтернативы 2 п... большой текст свёрнут, показать

6.63, Аноним (61), 08:35, 18/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
* 100) будто есть альтернатива доступа к чужим проектам там, ...

3.59, Яхз (?), 02:54, 18/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Цитаты хорошие, но на странице по ссылке поиском не находятся, интересно, к чему бы это? )

4.70, Аноним84701 (ok), 14:35, 18/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
> Цитаты хорошие, но на странице по ссылке поиском не находятся, интересно, к чему бы это? ) Возможно, к н̶е̶у̶м̶е̶н̶и̶ю̶ ̶и̶с̶к̶а̶т̶ь̶ заговору масонов-рептилоидов? https://pic4a.ru/911/5ct.png

5.71, Яхз (?), 23:19, 18/11/2019 [^] [^^] [^^^] [ответить]	+/–
Не, просто походу за тобой уже следят )) https://ibb.co/NNWLzPt

6.72, Аноним84701 (ok), 00:42, 19/11/2019 [^] [^^] [^^^] [ответить]

–1 +/–

> Не, просто походу за тобой уже следят ))
> https://ibb.co/NNWLzPt

С таким неумением-нежеланием настроить umatrix или аналоги -- и не загружать кучу модно-молодежных фреймворков, автоматически скрывающих "не очень интересные детали" (пока не жмякнешь вверху справа "Expand All") -- боюсь что следят совсем не за мной. Увы.

% w3m "https://privacy.microsoft.com/en-us/privacystatement" | grep -A3 "Name and contact"
Name and contact data. Your first and last name, email address, postal address,
phone number, and other similar contact data.

Credentials. Passwords, password hints, and similar security information used

7.75, Яхз (?), 10:59, 19/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Смотреть хз как отображающиеся сайты и постоянно лазить в настройки чтобы довключить нужное? Не, спасибо, у меня другие способы досуга ) В данном случае после нажатия Learn more данный текст дествительно появился, позволив показать что это унылый наброс, поскольку выше него подробно расписано в каких случаях "собираются" такие данные: administer your organization’s licensing account, ... , register for a Microsoft event Оно, конечно, может в мире эльфов можно управлять учётной записью организации или принять участие в мероприятии без указания ФИО и прочих реальных данных, но в обычном мире это не так )

8.77, Аноним84701 (ok), 14:48, 19/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Это первая часть А читать все же лучше целиком и т д Это да -- как же в ... большой текст свёрнут, показать

9.82, Яхз (?), 23:29, 19/11/2019 [^] [^^] [^^^] [ответить]	+/–
Понятно, в общем удачи в ношении тазика из фольги ... текст свёрнут, показать

1.33, SOska (?), 20:48, 15/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
J. P. Morgan - ребята не палятся

2.36, InuYasha (?), 21:46, 15/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
> J. P. Morgan - ребята не палятся тоже сразу в глаза бросилось )

1.34, Аноним (34), 20:59, 15/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Вместе с Microsoft Defender ATP это будет выглядеть очень даже внушительно.

1.37, Аноним (37), 22:25, 15/11/2019 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

2.65, Аноним (61), 08:40, 18/11/2019 Скрыто ботом-модератором [к модератору]	+/–

3.69, Аноним (30), 14:21, 18/11/2019 Скрыто ботом-модератором [к модератору]	+/–

4.73, Аноним (73), 00:44, 19/11/2019 Скрыто ботом-модератором [к модератору]	–1 +/–

5.74, Аноним (30), 09:16, 19/11/2019 Скрыто ботом-модератором [к модератору]	+1 +/–

6.78, Аноним (78), 15:19, 19/11/2019 Скрыто ботом-модератором [к модератору]	+/–

7.79, Аноним (30), 15:37, 19/11/2019 Скрыто ботом-модератором [к модератору]	+/–

8.80, Аноним (80), 20:03, 19/11/2019 Скрыто ботом-модератором [к модератору]	+/–

9.81, Аноним (81), 20:14, 19/11/2019 Скрыто ботом-модератором [к модератору]	+/–

....ответы скрыты (8)

1.39, Аноним (39), 23:12, 15/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ein Volk, ein SourceCode, ein GitHub

2.47, Аноним (30), 11:13, 16/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Нет ли тут отрицания локалхоста?

3.60, Аноним (60), 03:05, 18/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
6 миллионов багов исправлено

4.66, Аноним (61), 08:47, 18/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Читать надо и между строк: 6.66 же... (Остаётся гадать лишь о указанном: миллионы(степени тоже 6..., и почему не аж 9) - есть подозрение что они такие же дутые как и у л_хокоста).

5.67, Аноним (61), 08:49, 18/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
И кстати мою правоту в подозрениях - похоже подтвердил сам Сатана, выдав посту выше - № #66... ;)))

1.40, Аноним (40), 23:42, 15/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>подготовить отчёт, а GitHub уже сам разошлёт необходимые уведомления и организует их скоординированное исправление а перед этим воспользуются уязвимостью в своих целях?

2.41, Аноним (41), 01:25, 16/11/2019 [^] [^^] [^^^] [ответить]	+/–
а ты что думал ? АНБ и иже с ними будут всё это организовывать чтобы софт стал безопаснее ? ха это просто легальная крыша для крупномасштабного сбора 0day уязвимостей, они конечно будет закрывать(эти уязвимости), но не сразу же, зато они будут иметь преимущество первой ночи

3.44, Ivan_83 (ok), 03:48, 16/11/2019 [^] [^^] [^^^] [ответить]	+/–
Не, тут фишка в том, что пока будут закрывать какие то маинтейнеры, пока будут выкатывать... можно вполне легально это юзать. Гениально! Кетайцы со своим центром CVE просто жалкие неудачники!

2.42, x3who (?), 01:42, 16/11/2019 [^] [^^] [^^^] [ответить]	–2 +/–
> а перед этим воспользуются уязвимостью в своих целях? Несложно проверить - симулируешь выкладку, скажем, системы управления персоналом РВФС с заранее внедрённой уязвимостью. Пиаришь в прессе, что мол какой-то сотрудник слил сорцы и был посажен за предательство родины на 15 лет. Потом с другого аккаунта раскрываешь уязвимость и смотришь что будет дальше.

1.43, Ivan_83 (ok), 03:47, 16/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
АНБ систематизировало сбор дырок нулл-дэй, поздравляемс!

1.50, Аноним (-), 15:34, 16/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Майкрософту помогать не собираюсь.

2.52, Аноним (52), 16:19, 16/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
А то что Microsoft помогает опенсосию выжить, это конечно же ничего.

3.54, Аноним (-), 17:10, 16/11/2019 [^] [^^] [^^^] [ответить]	+1 +/–
>А то что Microsoft помогает опенсосию выжить, это конечно же ничего. Жирное, троллевское, ложное утверждение. Майкрософт волнует только своё обогащение.

4.56, сосо (?), 21:09, 16/11/2019 [^] [^^] [^^^] [ответить]	+/–
Можно пример того кого не волнует и он живота не жалея забабахал проекты такиеже как мелкософт?

5.64, Andrey Mitrofanov_N0 (??), 08:37, 18/11/2019 [^] [^^] [^^^] [ответить]	+1 +/–
> Можно пример того кого не волнует и он живота не жалея забабахал > проекты такиеже как мелкософт? Ричард Столман написал GCC. И?

3.57, Ordu (ok), 14:48, 17/11/2019 [^] [^^] [^^^] [ответить]

+/–

Это не ничего, это враки распространяемые майкрософтом.

http://techrights.org/2019/09/09/control-of-media/

4.76, Andrey Mitrofanov_N0 (??), 11:48, 19/11/2019 [^] [^^] [^^^] [ответить]

+/–

> Это не ничего, это враки распространяемые майкрософтом.
> http://techrights.org/2019/09/09/control-of-media/

[U]Delete Microsoft Github[/U]. http://techrights.org/wiki/index.php/Delete_Github
+ 11.12.19 Maintaining the ‘Delete Github’ page
http://techrights.org/2019/11/12/delete-github-page/

11.18.19 [U]What GitHub is to Open Source[/U] http://techrights.org/2019/11/18/lots-of-prisoners-inside-github/
+ Summary: Lots of prisoners inside GitHub

11.16.19 [U]Microsoft Doesn’t Love Linux, It Just Buys Linux[/U] http://techrights.org/2019/11/16/buying-gnu-linux-piecewise/
+ Summary: Microsoft’s takeover or abduction of its opposition’s voice isn’t an act of love but an [U]act of occupation[/U], a hostile colonisation [...]

3.58, Аноним (41), 18:29, 17/11/2019 [^] [^^] [^^^] [ответить]	+/–
40 лет спустя, где-то на научно-исторической конференции: - И только благодаря Microsoft который стоял у истоков Linux и создал github, опенсорс удалось пережить трудные времена, а после покупки Red Hat с переименованием её в Lindows 11 и внедрением отзывчивой телеметрии основанной на ИИ пользователи линукс перестали быть просто пользователями, а стали полноправными членами свободного и демократического общества.

4.68, Аноним (61), 08:56, 18/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
> и внедрением отзывчивой телеметрии ...с DRM, "с принёсшей миру свободу от пиратства великолепной DRM"

игнорирование участников | лог модерирования

Добавить комментарий

Текст: