GitHub Security Lab un proyecto para identificar vulnerabilidades en software de código abierto
El dia de Ayer, en la conferencia de GitHub Universe para desarrolladores, GitHub anunció que lanzará un nuevo programa destinado a mejorar la seguridad del ecosistema de código abierto. El nuevo programa se llama GitHub Security Lab y permite a los investigadores de seguridad de una variedad de compañías identificar y solucionar problemas de proyectos populares de código abierto.
Todas las empresas interesadas y especialistas en seguridad informática individual están invitados a unirse a la iniciativa a la cual ya se han unido investigadores de seguridad de F5, Google, HackerOne, Intel, IOActive, JP Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber y VMWare, que han identificado y ayudado a corregir 105 vulnerabilidades en los últimos dos años en proyectos como Chromium, libssh2, el kernel de Linux, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode y Hadoop.
“La misión del Security Lab es inspirar y permitir que la comunidad de investigación global asegure el código del programa”, dijo la compañía.
El ciclo de vida del mantenimiento de la seguridad del código propuesto por GitHub implica que los participantes de GitHub Security Lab identificarán vulnerabilidades, después de lo cual se comunicará la información sobre los problemas a los encargados del mantenimiento y a los desarrolladores que resolverán los problemas, acordarán el momento de revelar información sobre el problema e informarán a los proyectos dependientes sobre la necesidad de instalar la versión con la eliminación de la vulnerabilidad.
Microsoft lanzó CodeQL, que fue desarrollado para encontrar vulnerabilidades en el código fuente abierto, para uso público. La base de datos alojará plantillas de CodeQL para evitar la reaparición de problemas resueltos en el código presente en GitHub.
Además, GitHub se ha convertido recientemente en una Autoridad de Numeración Autorizada (CNA) de CVE. Esto significa que puede emitir identificadores CVE para vulnerabilidades. Esta característica se ha agregado a un nuevo servicio llamado ” consejos de seguridad “.
A través de la interfaz de GitHub, se puede obtener el identificador CVE para el problema identificado y preparar un informe, y GitHub enviará las notificaciones necesarias por sí mismo y organizará su corrección coordinada. Además, después de solucionar el problema, GitHub enviará automáticamente solicitudes de extracción para actualizar las dependencias asociadas con el proyecto vulnerable.
Los identificadores CVE mencionados en los comentarios en GitHub automáticamente ahora hacen referencia a información detallada sobre la vulnerabilidad en la base de datos enviada. Para automatizar el trabajo con la base de datos, se propone una API separada.
GitHub también ha presentado el catálogo de vulnerabilidades de la base de datos de asesoramiento de GitHub, que publica información sobre vulnerabilidades que afectan a los proyectos de GitHub e información para rastrear paquetes y repositorios vulnerables. El nombre de la base de datos de consultoría de seguridad que estará en GitHub será GitHub Advisory Database.
También informó de la actualización del servicio de protección contra conseguir en un repositorio de acceso público de la información confidencial, como los tokens de autenticación y las claves de acceso.
Durante la confirmación, el escáner verifica los formatos típicos de clave y token utilizados por 20 proveedores y servicios en la nube, incluidos Alibaba Cloud API, Amazon Web Services (AWS), Azure, Google Cloud, Slack y Stripe. Si se detecta un token, se envía una solicitud al proveedor de servicios para confirmar la fuga y revocar los tokens comprometidos. Desde ayer, además de los formatos admitidos anteriormente, se ha agregado compatibilidad para definir tokens GoCardless, HashiCorp, Postman y Tencent
Para la identificación de vulnerabilidades, se proporciona una tarifa de hasta $ 3,000, dependiendo del peligro del problema y la calidad de la preparación del informe.
Según la compañía, los informes de errores deben contener una consulta CodeQL que permite crear una plantilla de código vulnerable para detectar la presencia de una vulnerabilidad similar en el código de otros proyectos (CodeQL permite realizar análisis semántico del código y consultas de formulario para buscar estructuras específicas).