per Zero-Day
| 14 novembre 2019 — 23:17 GMT (23:17 GMT)
| Argomento: Sicurezza
Immagine: GitHub
Oggi, a GitHub Universo developer conference, GitHub ha annunciato il lancio di un nuovo programma comunitario denominato Security Lab, che riunisce i ricercatori di sicurezza di diverse organizzazioni per la caccia e aiutare a correggere i bug più popolare di progetti open source.
“GitHub Security Lab missione è quella di ispirare e preparare per la sicurezza globale di una comunità di ricerca sicura del mondo, del codice,” ha detto la società in un comunicato.
“La nostra squadra darà l’esempio, dedicando a tempo pieno di risorse per la ricerca e la segnalazione di vulnerabilità critiche di progetti open source,” ha detto.
Soci fondatori sono i ricercatori di sicurezza di aziende come Microsoft, Google, Intel, Mozilla, Oracle, Uber, VMWare, LinkedIn, J. P. Morgan, NCC Gruppo, IOActive, F5, Sentiero di Bit, e HackerOne.
GitHub dice Security Lab soci fondatori hanno trovato, segnalato, e ha contribuito a risolvere più di 100 le falle di sicurezza già.
Altre organizzazioni, come pure i singoli ricercatori di sicurezza, possono anche unirsi. Un bug bounty program con premi fino a $3.000 è inoltre disponibile, per compensare cacciatori di bug per il momento hanno messo in ricerca di vulnerabilità nei progetti open source.
Bug report deve contenere un CodeQL query. CodeQL è un nuovo strumento open source che GitHub pubblicato oggi; una semantica di analisi del codice del motore che è stato progettato per trovare diverse versioni della stessa vulnerabilità di fronte vasts stralci di codice. Oltre a GitHub, CodeQL è già uscito in altri luoghi per aiutare con la vulnerabilità del codice di scansioni, come ad esempio Mozilla.
GitHub più ampio piano per migliorare la sicurezza
GitHub nuovo Security Lab, il progetto non è venuto fuori dal nulla. Gli sforzi sono in corso presso l’azienda a migliorare la sicurezza generale stato di GitHub ecosistema per qualche tempo. Security Lab unisce tutti questi insieme.
Per esempio, GitHub ha lavorato negli ultimi due anni a tirare fuori le notifiche di sicurezza che avvisa progetto manutentori di dipendenze che contengono le falle di sicurezza.
All’inizio di quest’anno, GitHub ha iniziato a testare una funzione che permetta di progetto agli autori di creare “aggiornamenti di sicurezza automatizzati.” Quando GitHub vorresti rilevare una falla di sicurezza all’interno di un progetto di dipendenza, GitHub per aggiornare automaticamente la dipendenza e il rilascio di una nuova versione progetto a nome del maintainer del progetto.
La funzionalità è in beta testing per tutti 2019, ma a partire da oggi automatici gli aggiornamenti di sicurezza sono generalmente disponibili e sono stati estesi ad ogni repository attivo con avvisi di sicurezza abilitata. [Vedi anche annuncio ufficiale.]
Immagine: GitHub
Inoltre, GitHub, anche recentemente, è diventato un centro autorizzato CVE Numerazione Autorità (CNA), il che significa che è possibile il rilascio di CVE identificatori di vulnerabilità. GitHub non si applica per diventare un CNA per niente.
La sua CNA capacità è stato aggiunto un nuovo servizio chiamato “gli avvisi di sicurezza.” Queste sono le voci speciali in un progetto di Questioni Tracker dove le falle di sicurezza sono gestite in privato.
Una volta che una falla di sicurezza è stato risolto, il proprietario del progetto in grado di pubblicare la sicurezza, e GitHub avvisa tutti a monte titolari di progetti che utilizzano versioni vulnerabili di originale manutentore codice.
Ma prima di pubblicare un avviso di sicurezza di progetto, i proprietari possono anche richiedere e ricevere un numero CVE per il loro progetto di vulnerabilità direttamente da GitHub.
In precedenza, il progetto open source di proprietari che hanno ospitato i loro progetti su GitHub, non si è preoccupato di richiedere un numero CVE a causa del difficile processo.
Tuttavia, ottenere identificatori CVE è fondamentale, poiché questi Id e ulteriori dettagli possono essere integrati in molti altri strumenti di sicurezza per la scansione di codice sorgente e progetti per la vulnerabilità, aiutando le aziende a rilevare le vulnerabilità in aperta sourcec strumenti che avrebbero normalmente perdere.[Vedi anche annuncio ufficiale.]
Immagine: GitHub
E oltre al nuovo GitHub Security Lab, il codice di condivisione della piattaforma è anche il lancio di GitHub Advisory banca dati di raccogliere tutti gli avvisi di sicurezza trovato sulla piattaforma, per rendere più facile per tutti di tenere traccia delle falle di sicurezza trovato in GitHub-progetti ospitati. [Vedi anche annuncio ufficiale.]
E per ultimo, ma non meno importante, GitHub aggiornato anche il Token di Scansione, la sua in-house del servizio che gli utenti possono eseguire la scansione di’ progetti chiavi API e i gettoni che sono stati accidentalmente lasciato all’interno del loro codice sorgente.
A partire da oggi, il servizio, che in precedenza poteva rilevare API gettoni da 20 servizi, in grado di identificare quattro formati, da GoCardless, HashiCorp, Postino, e Tencent. [Vedi anche annuncio ufficiale.]
Sviluppatore
Buone notizie per gli sviluppatori: Il CLI è tornato
Windows 10 1909: che Cosa gli sviluppatori hanno bisogno di sapere? Non molto, dice Microsoft
Qualtrics si estende la piattaforma di sviluppo, aggiunge integrazione partner
L’introduzione di VAPORE per i bambini attraverso lo sport (ZDNet YouTube)
I Migliori Provider di Web Hosting per il 2019 (CNET)
Come ottenere un developer di lavoro (TechRepublic)
Argomenti Correlati:
Microsoft
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
per Zero-Day
| 14 novembre 2019 — 23:17 GMT (23:17 GMT)
| Argomento: Sicurezza