Geekly articles weekly

Annonce du laboratoire de sécurité Github: Protéger tout le code ensemble

image

Nous avons tous la responsabilité collective d'assurer la sécurité des logiciels open source - aucun de nous ne peut le faire seul. Aujourd'hui, à Github Universe, nous avons annoncé la création du Github Security Lab . Un lieu pour les chercheurs en sécurité de se réunir avec des entreprises de l'industrie qui partagent notre conviction que la sécurité open source est importante pour tout le monde.

Nous sommes heureux d'avoir des partenaires initiaux qui contribuent à cet objectif. Ensemble, nous fournissons des outils, des ressources, des récompenses et des milliers d'heures de recherche sur la sécurité pour aider à protéger l'écosystÚme open source.

Dans le cadre de l'annonce d'aujourd'hui, GitHub Security Lab met gratuitement CodeQL Ă  la disposition de tous ceux qui pourraient trouver des vulnĂ©rabilitĂ©s open source. CodeQL est un outil que de nombreux groupes de recherche du monde entier utilisent pour effectuer une analyse de code sĂ©mantique, et nous l'avons utilisĂ© nous-mĂȘmes pour trouver plus de 100 CVE (Common Vulnerabilities and Exposures) enregistrĂ©s dans certains projets open source populaires.

Nous lançons également la base de données consultative GitHub , une base de données de recommandations accessible au public créée sur GitHub, ainsi que des données supplémentaires mappées aux packages suivis par le graphique de dépendance GitHub.

L'approche de GitHub en matiÚre de sécurité couvre tout le cycle de vie de la sécurité des projets open source. GitHub Security Lab aidera à identifier et signaler les vulnérabilités dans les projets open source, tandis que les responsables et les développeurs utilisent GitHub pour créer des correctifs, coordonner la divulgation et la mise à jour des projets dépendants avec une vulnérabilité résolue.

image

Laboratoire de sécurité Github


La mission de GitHub Security Lab est d'inspirer et de permettre à la communauté mondiale des chercheurs en sécurité de protéger le code dans le monde entier. Notre équipe donnera l'exemple en consacrant des ressources continues à la recherche et au signalement de vulnérabilités dans des projets open source cruciaux. Komadna a déjà publié plus de 100 CVE pour la détection de vulnérabilité.

Sécuriser des projets open source dans le monde n'est pas une tùche facile. Tout d'abord, l'échelle: un écosystÚme de JavaScript contient plus d'un million de packages open source. De plus, il y a une pénurie de spécialistes de la sécurité, environ 500 développeurs pour un spécialiste. Enfin, il y a la coordination: des experts en sécurité dans le monde travaillent dans des milliers d'entreprises. Le laboratoire de sécurité GitHub et CodeQL vous y aideront.

Dans ce travail, nous sommes rejoints par des entreprises qui donnent de leur temps et de leur expérience pour trouver et signaler des vulnérabilités dans des projets open source. Chacun s'est engagé à contribuer à sa maniÚre et nous espérons que d'autres se joindront à nous à l'avenir.

  • F5
  • Google
  • Hackerone
  • Intel
  • OIActive
  • JP Morgan
  • Linkedin
  • Microsoft
  • Mozilla
  • Groupe CCN
  • Oracle
  • Sentier de bits
  • Uber
  • VMware

Pour Ă©tendre nos capacitĂ©s, nous rendons Ă©galement notre moteur d'analyse de code CodeQL collaboratif gratuit pour une utilisation dans des projets open source. CodeQL vous permet d'interroger le code comme s'il s'agissait de donnĂ©es. Si vous connaissez une erreur de codage qui a conduit Ă  une vulnĂ©rabilitĂ©, vous pouvez Ă©crire une requĂȘte pour trouver toutes les variantes de ce code, dĂ©truisant Ă  jamais une classe entiĂšre de vulnĂ©rabilitĂ©s. DĂ©couvrez comment dĂ©marrer avec CodeQL .

Si vous ĂȘtes chercheur en sĂ©curitĂ© ou travaillez dans une Ă©quipe de sĂ©curitĂ©, nous avons besoin de votre aide. SĂ©curiser des projets open source dans le monde nĂ©cessitera le travail de toute la communautĂ©. GitHub Security Lab organisera des Ă©vĂ©nements et partagera les meilleures pratiques pour aider tout le monde Ă  participer. Suivez GHSecurityLab sur Twitter pour plus de dĂ©tails.

Amélioration du flux de travail de sécurité dans l'open source


Alors que les chercheurs du monde de la sécurité découvrent de plus en plus de vulnérabilités, les utilisateurs accompagnants et finaux ont besoin d'outils plus sophistiqués pour les corriger.

Aujourd'hui, le processus de correction de nouvelles vulnérabilités est souvent temporaire. 40% des nouvelles vulnérabilités des projets open source n'ont pas d'identifiant dans CVE lorsqu'elles sont déclarées, c'est-à-dire qu'elles ne sont incluses dans aucune base de données publique. 70% des vulnérabilités critiques restent non résolues 30 jours aprÚs la notification aux développeurs.

Nous le rĂ©parons. Les responsables et les dĂ©veloppeurs peuvent dĂ©sormais travailler ensemble directement sur GitHub pour garantir que les nouvelles vulnĂ©rabilitĂ©s ne sont divulguĂ©es que lorsque les responsables sont prĂȘts, et les dĂ©veloppeurs peuvent rapidement et facilement mettre Ă  niveau vers une version fixe.

Avis de sécurité Github


GrĂące aux conseils de sĂ©curitĂ©, les responsables peuvent travailler avec des chercheurs en sĂ©curitĂ© sur des correctifs dans l'espace privĂ©, demander des CVE directement depuis GitHub et fournir des informations structurĂ©es sur les vulnĂ©rabilitĂ©s. Puis, lorsqu'ils seront prĂȘts Ă  publier des recommandations de sĂ©curitĂ©, GitHub enverra des alertes sur les projets concernĂ©s.

image

Mises à jour de sécurité automatiques


Il est utile d'ĂȘtre informĂ© des dĂ©pendances vulnĂ©rables, mais il est encore mieux d'obtenir des demandes d'extraction par extraction avec un correctif. Pour aider les dĂ©veloppeurs Ă  rĂ©agir rapidement aux nouvelles vulnĂ©rabilitĂ©s, GitHub crĂ©e des mises Ă  jour de sĂ©curitĂ© automatisĂ©es - pull request, qui mettent Ă  jour la dĂ©pendance vulnĂ©rable vers la version fixe.

image

Des mises Ă  jour de sĂ©curitĂ© automatiques pour le systĂšme ont Ă©tĂ© lancĂ©es en version bĂȘta sur GitHub Satellite 2019 et sont dĂ©sormais principalement disponibles et dĂ©ployĂ©es pour chaque rĂ©fĂ©rentiel actif avec des alertes de sĂ©curitĂ© activĂ©es.

Scan de jeton


L'une des erreurs les plus courantes est le code dur des jetons ou des informations d'identification dans le projet. Quelques secondes aprÚs l'envoi d'une validation à GitHub ou la mise à disposition du projet au public, nous le scannons pour les formats de 20 fournisseurs de cloud différents. Lorsque nous trouvons une correspondance, nous en informons les fournisseurs et ils prennent des mesures, généralement en annulant les jetons et en avisant les utilisateurs concernés. Et aujourd'hui, nous avons annoncé quatre nouveaux partenaires: GoCardless, HashiCorp, Postman et Tencent.

Base de données consultative Github


Nous avons apporté toutes les modifications que les mainteneurs créent dans les conseils de sécurité GitHub, ainsi que des données supplémentaires, et mappées aux packages surveillés par le graphique de dépendance GitHub, disponible gratuitement. Explorez la nouvelle base de données GitHub Advisory dans votre navigateur, créez des liens directs vers des publications avec des ID CVE dans les commentaires, ou accédez aux données par programmation à l'aide du point de terminaison Security Advisory API .

image

Source: https://habr.com/ru/post/fr475924/

More articles:


All Articles