for Nul-Dag
| November 14, 2019 — 23:17 GMT (23:17 GMT)
| Emne: Sikkerhed
Billede: GitHub
I dag, på GitHub Universet udvikler-konference, GitHub annonceret lanceringen af et nyt eu-program kaldet Security Lab, der samler sikkerhed forskere fra forskellige organisationer til at jage og hjælpe med at rette fejl i populære open source-projekter.
“GitHub Security Lab’ s mission er at inspirere og aktivere den globale sikkerhed forskningsmiljøer for at sikre verdens kode,” sagde selskabet i en pressemeddelelse.
“Vores team vil foregå med et godt eksempel, at dedikere fuld tid og ressourcer til at finde og rapportering kritiske sårbarheder i open source-projekter,” sagde det.
Stiftende medlemmer omfatter sikkerhed forskere fra organisationer som Microsoft, Google, Intel, Mozilla, Oracle, Uber, VMWare, LinkedIn, J. P. Morgan, NCC-Koncernen, IOActive, F5, Spor af Bits, og HackerOne.
GitHub siger Security Lab stiftende medlemmer har fundet, rapporterede, og hjalp med at lave mere end 100 sikkerhedshuller allerede.
Andre organisationer, såvel som individuelle sikkerhed forskere, kan også deltage. En bug bounty program med belønninger på op til $3000 er også til rådighed, for at kompensere for fejl jægere for den tid de har lagt i at lede efter sårbarheder i open source-projekter.
Fejlrapporter skal indeholde en CodeQL forespørgsel. CodeQL er et nyt open source-værktøj, der GitHub udgivet i dag; en semantisk kode, analyse motor, der var designet til at finde forskellige versioner af den samme sårbarhed over vasts skår af kode. Udover GitHub, CodeQL er allerede ved at blive rullet ud i andre steder for at hjælpe med sårbarhed-kode scanner, som Mozilla.
GitHub bredere plan for at forbedre sikkerheden
GitHub ‘ s nye Sikkerheds-Lab projektet ikke kommer ud af det blå. En indsats, der har stået på i virksomheden til at forbedre den overordnede sikkerhed tilstand af GitHub økosystem for nogle tid. Security Lab samler alle disse sammen.
For eksempel, GitHub har arbejdet for de seneste to år på rullende sikkerhed meddelelser, der advarer projekt vedligeholdere om afhængigheder, der indeholder sikkerhedshuller.
Tidligere dette år, GitHub gang med at teste en funktion, der vil give projektet forfattere til at skabe “automatiske sikkerhedsopdateringer.” Når GitHub ville afsløre en sikkerhedsbrist inde i et projekt, afhængighed, GitHub vil automatisk opdatere afhængighed og frigive en ny version projekt på vegne af projektet vedligeholder.
Funktionen har været i beta-test for alle 2019, men starter i dag automatiske sikkerhedsopdateringer er tilgængelige, og er blevet rullet ud til alle aktive repository med sikkerhed alarmer er aktiveret. [Se også officiel meddelelse.]
Billede: GitHub
Desuden GitHub også for nylig blev en autoriseret CVE Nummerering Myndighed (CNA), hvilket betyder, at det kan udstede CVE identifikatorer for sårbarheder. GitHub ikke ansøge om at blive en CNA for ingenting.
Dens CNA kapacitet er blevet tilføjet til en ny tjeneste, funktion, der hedder “security advisories.” Disse er særlige poster i et projekt, er Spørgsmål, der Tracker hvor sikkerhedshuller er behandlet i det private.
Når et sikkerhedshul er fast, projektejeren kan offentliggøre sikkerhed, og GitHub vil advare alle upstream-projekt-ejere, der bruger sårbare versioner af den oprindelige vedligeholder kode.
Men før du udgiver en sikkerheds rådgivning, projekt-ejere kan også anmode om og modtage et CVE-nummer for deres projekt sårbarhed direkte fra GitHub.
Tidligere, mange open source-projekt for ejere, der er hostet deres projekter på GitHub ikke gider at anmode om et CVE-nummer på grund af den besværlige proces.
Dog, få CVE-identifikatorer, der er afgørende, da disse id ‘ er, og yderligere oplysninger kan integreres i mange andre sikkerheds-værktøjer til at scanne kildekode og projekter for sårbarheder, der hjælper virksomheder opdage sårbarheder i åbne sourcec værktøjer, som de normalt ville have savnet.[Se også officiel meddelelse.]
Billede: GitHub
Og i tillæg til det nye GitHub Security Lab, the code-sharing-platformen er også lancere GitHub Rådgivende Database, hvor man vil indsamle alle sikkerhedsbulletiner, som findes på den platform, for at gøre det nemmere for alle at holde styr på sikkerhedshuller fundet i GitHub-vært projekter. [Se også officiel meddelelse.]
Og sidst, men ikke mindst, GitHub også opdateret Token Scanning, dens in-house service, der kan scanne brugere’ projekter for API-keys og møntefterligninger, der har været et uheld efterladt i deres kildekode.
Starter i dag, den tjeneste, der tidligere kunne afsløre API tokens fra 20 tjenester, der kan identificere fire formater, fra GoCardless, HashiCorp, Postbud, og Tencent. [Se også officiel meddelelse.]
Udvikler
En god nyhed for udviklere: CLI er tilbage
Windows 10 1909: Hvad gør udviklere har brug for at vide? Ikke meget, siger Microsoft
Qualtrics udvider developer platform, tilføjer integration partnere
Indførelse af DAMP til børn gennem sport (ZDNet YouTube)
De Bedste Web-Hosting-Udbydere til 2019 (CNET)
Sådan får du et udvikler job (TechRepublic)
Relaterede Emner:
Microsoft
Sikkerhed-TV
Data Management
CXO
Datacentre
for Nul-Dag
| November 14, 2019 — 23:17 GMT (23:17 GMT)
| Emne: Sikkerhed