för Zero Day
| 14 November 2019 — 23:17 GMT (23:17 GMT)
| Ämne: Säkerhet
Bild: GitHub
Idag, på GitHub Universum developer conference, GitHub meddelat lanseringen av en ny eu-program som heter Security Lab som förenar säkerhet forskare från olika organisationer för att jaga och hjälpa till att fixa buggar i populära open source-projekt.
“GitHub Security Lab’ s uppdrag är att inspirera och aktivera den globala säkerhetspolitiska forskningen för att säkra världens kod,” sade företaget i ett pressmeddelande.
“Vårt team kommer att leda genom exempel ägna full tid resurser för att hitta och rapportera säkerhetsproblem i kritiska projekt i öppen källkod,” det sagt.
Grundande medlemmarna är säkerhet forskare från organisationer som Microsoft, Google, Intel, Mozilla, Oracle, Uber, VMWare, LinkedIn, J. P. Morgan, NCC-Koncernen, IOActive, F5, Spår av Bitar, och HackerOne.
GitHub säger Security Lab grundande medlemmarna har hittat, rapporterade, och hjälpte till att fixa mer än 100 säkerheten brister redan.
Andra organisationer, liksom den enskildes trygghet och forskare, kan också delta. En bug bounty program med belöningar på upp till $3,000 finns också, för att kompensera felet jägare för den tid de lagt ned på att söka efter sårbarheter i open source-projekt.
Bugg-rapporter måste innehålla en CodeQL fråga. CodeQL är ett nytt open source-verktyg som GitHub som släpptes idag; en semantisk analys av koden motor som var utformad för att hitta olika versioner av samma säkerhetsproblem över vasts strängar av kod. Förutom GitHub, CodeQL redan rullas ut på andra platser för att hjälpa till med sårbarhet koden skannas, såsom Mozilla.
GitHub är bredare plan för att förbättra säkerheten
GitHub är nytt Security Lab-projektet har inte kommit ur det blå. Arbete har pågått inom företaget för att förbättra den totala säkerheten staten GitHub ekosystem för lite tid. Security Lab går samman alla dessa tillsammans.
Till exempel, GitHub har arbetat för de senaste två åren på att bygga ut säkerhetsmeddelanden som varnar för projektet ansvariga om beroenden som innehåller säkerhetsbrister.
Tidigare i år, GitHub börjat testa en funktion som skulle göra det möjligt för projektet författarna för att skapa “automatiska säkerhetsuppdateringar.” När GitHub skulle upptäcka en säkerhetsbrist inne i ett projekt är beroende, GitHub skulle uppdateras automatiskt om beroende och släpper en ny version projektet på uppdrag av projektet ansvarig.
Funktionen har funnits i beta-testning för alla 2019, men från och med idag automatiska säkerhetsuppdateringar finns allmänt tillgängliga och har rullats ut till alla aktiva arkiv med säkerhetsvarningar aktiverad. [Se även officiella tillkännagivandet.]
Bild: GitHub
Dessutom, GitHub också nyligen blev en auktoriserad CVE Numrering Myndigheten (CNA), vilket innebär att den kan utfärda CVE kännetecken för sårbarheter. GitHub inte ansöka om att bli en CNA för ingenting.
Dess CNA förmåga har lagt till en ny funktion som kallas “security advisories.” Dessa är speciella poster i ett projekt är Frågor Tracker där säkerheten brister hanteras i privat.
När en säkerhetsbrist är fast, projektägaren kan publicera säkerhet, och GitHub kommer att varna alla uppströms projekt ägare som använder sårbara versioner av den ursprungliga ansvariga kod.
Men innan publicering ett säkerhetsmeddelande -, projekt-ägare kan också begära och få ett CVE-nummer för sitt projekt sårbarhet direkt från GitHub.
Tidigare, många open source-projekt ägare som värd sina projekt på GitHub inte bry sig om att begära ett CVE-nummer på grund av att den mödosamma processen.
Det är dock få CVE kännetecken är avgörande, eftersom dessa Id: n och ytterligare information kan integreras i många andra säkerhetsverktyg som söker igenom källkoden och projekt för sårbarheter för att hjälpa företag att upptäcka sårbarheter i öppna sourcec verktyg som de normalt sett skulle ha missat.[Se även officiella tillkännagivandet.]
Bild: GitHub
Och i tillägg till det nya GitHub Security Lab code-sharing-plattformen är också att lansera GitHub Rådgivande Databas, där man kommer att samla in alla säkerhetsbulletiner som finns på plattformen, för att göra det lättare för alla att hålla koll på säkerhetsbrister som finns på GitHub-värd projekt. [Se även officiella tillkännagivandet.]
Och sist, men inte minst, GitHub också uppdaterad Token Skanning, sin egen tjänst som kan skanna användarna’ projekt för API-nycklar och symboliska mynt som av misstag lämnats in sin källkod.
Från och med idag, den service, som tidigare kunde upptäcka API polletter från 20 tjänster, kan identifiera fyra fler format, från GoCardless, HashiCorp, Brevbärare, och Tencent. [Se även officiella tillkännagivandet.]
Utvecklare
Bra nyheter för utvecklare: CLI är tillbaka
Windows 10 1909: Vad gör att utvecklare behöver veta? Inte mycket, säger Microsoft
Qualtrics sträcker sig developer platform, lägger integration partner
Införande av ÅNGA för att barnen genom sport (ZDNet YouTube)
Bästa Webbhotell för 2019 (CNET)
Hur får man en utvecklare jobb (TechRepublic)
Relaterade Ämnen:
Microsoft
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| 14 November 2019 — 23:17 GMT (23:17 GMT)
| Ämne: Säkerhet