voor Zero Day
| 14 November 2019 — 23:17 GMT (23:17 GMT)
| Onderwerp: Security
Afbeelding: GitHub
Vandaag, op de GitHub Universum developer conference, GitHub aangekondigd de lancering van een nieuwe communautaire programma genaamd Security Lab dat brengt de veiligheid van onderzoekers van verschillende organisaties te jagen en te helpen bij het oplossen van bugs in de populaire open-source projecten.
“GitHub Security Lab’ s missie is om te inspireren en in staat stellen de global security research community om veilig de wereld van de code,” aldus het bedrijf in een persbericht.
“Ons team zal u leiden door het voorbeeld te wijden full-time bronnen voor het vinden en melden van kwetsbaarheden in kritische open source-projecten,” zei hij.
Stichtende leden zijn de onderzoekers van de veiligheid van organisaties zoals Microsoft, Google, Intel, Mozilla, Oracle, Uber, VMWare, LinkedIn, J. P. Morgan, NCC Group, IOActive, F5, Trail van Bits, en HackerOne.
GitHub, zegt Security Lab de stichtende leden hebben gevonden, gemeld en heeft geholpen met het repareren van meer dan 100 beveiligingsfouten al.
Andere organisaties, alsmede de individuele security onderzoekers, kunnen ook lid worden. Een bug bounty ‘ programma, met prijzengeld van $3.000 is ook beschikbaar, te compenseren bug jagers voor de tijd die zij steken in het zoeken naar kwetsbaarheden in open source projecten.
Bug-rapporten bevatten een CodeQL query. CodeQL is een nieuwe open source tool die GitHub vandaag vrijgegeven; een semantische code-analyse-engine die is ontworpen om verschillende versies van dezelfde kwetsbaarheid in grootte lappen code. Naast GitHub, CodeQL is al uitgerold in andere plaatsen om te helpen met de kwetsbaarheid code scant, zoals Mozilla.
GitHub is breder plan om de veiligheid te verbeteren
GitHub het nieuwe Veiligheids-Lab project kwam niet uit de lucht vallen. De inspanningen zijn er op het bedrijf aan het verbeteren van de algehele beveiligingsstatus van de GitHub ecosysteem voor bepaalde tijd. Security Lab voegt deze samen.
Bijvoorbeeld, GitHub heeft gewerkt voor de afgelopen twee jaar op het uitrollen van beveiliging van berichten die waarschuwen voor projectbeheerders over afhankelijkheden die bevatten beveiligingslekken.
Eerder dit jaar, GitHub gestart met het testen van een functie die het mogelijk maakt het project auteurs maken “automatische beveiligingsupdates.” Wanneer GitHub zou detecteren van een lek in een project afhankelijkheid, GitHub zou het automatisch bijwerken van de afhankelijkheid en de release van een nieuw project versie namens de project ontwikkelaar.
De feature is in beta testing voor alle 2019, maar vanaf vandaag geautomatiseerde security updates zijn over het algemeen beschikbaar en zijn uitgerold naar alle actieve repository met veiligheidswaarschuwingen ingeschakeld. [Zie ook de officiële aankondiging.]
Afbeelding: GitHub
Bovendien, GitHub ook onlangs werd een geautoriseerde CVE Nummering Autoriteit (CNA), wat betekent dat het probleem CVE id ‘ s voor kwetsbaarheden. GitHub niet van toepassing op een CNA voor niets.
De CNA mogelijkheid is toegevoegd aan een nieuwe service functie genaamd “beveiligingsadviezen.” Dit zijn speciale items in een project is een Tracker waar beveiligingslekken privé behandeld.
Zodra er een lek wordt vastgesteld, de eigenaar van het project kan publiceren in de beveiliging, en GitHub waarschuwt alle upstream project-eigenaren die gebruik maken van kwetsbare versies van de originele ontwikkelaar van de code.
Maar voordat het publiceren van een security advisory, project-eigenaren kunnen ook een aanvraag en ontvangen van een CVE-nummer voor hun project de kwetsbaarheid direct vanaf GitHub.
Eerder, de vele open source-project eigenaren, die als gastheer voor hun projecten op GitHub niet de moeite het aanvragen van een CVE-nummer vanwege het moeizame proces.
Echter, aan de CVE id ‘s is van cruciaal belang, omdat deze Id’ s en aanvullende informatie kan worden geïntegreerd in een groot aantal andere security tools die scan broncode en projecten voor kwetsbaarheden in het helpen van bedrijven om kwetsbaarheden op te sporen in open sourcec tools die ze normaal zou missen.[Zie ook de officiële aankondiging.]
Afbeelding: GitHub
En naast de nieuwe GitHub Security Lab, de code-sharing platform is ook de lancering van de GitHub Advies-Database, waar het verzamelen van alle beveiligingswaarschuwingen te vinden op het platform, om het makkelijker te maken voor iedereen om bij te houden van beveiligingsfouten vinden in GitHub-hosted projecten. [Zie ook de officiële aankondiging.]
En als laatste maar niet het minste, GitHub ook bijgewerkt Token Scannen, zijn in-house service die u kunt scannen gebruikers’ projecten voor API sleutels en munten, die zijn per ongeluk in de bron code.
Vandaag begint de dienst, die eerder kon ontdekken API-tokens van 20 diensten, kunnen identificeren vier formaten, van GoCardless, HashiCorp, Postbode, en Tencent. [Zie ook de officiële aankondiging.]
Ontwikkelaar
Goed nieuws voor ontwikkelaars: De CLI is terug
Windows 10 1909: Wat doen de ontwikkelaars moeten weten? Niet veel, zegt Microsoft
Qualtrics breidt developer platform, voegt integratie partners
De invoering van STOOM om kinderen door middel van sport (ZDNet YouTube)
De Beste Web Hosting Providers in 2019 (CNET)
Hoe je een developer werk (TechRepublic)
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters
voor Zero Day
| 14 November 2019 — 23:17 GMT (23:17 GMT)
| Onderwerp: Security