seostock
15.11.2019, 18:35
Похоже, что руководство GitHub всерьёз задумалось о безопасности ПО. Сначала было хранилище данных на Шпицбергене и проект (https://3dnews.ru/988031) финансовой поддержки разработчиков.
А теперь появилась (https://github.blog/2019-11-14-announcing-github-security-lab-securing-the-worlds-code-together/) инициатива GitHub Security Lab, которая предполагает участие всех заинтересованных специалистов в улучшении безопасности открытого ПО.
https://3dnews.ru/assets/external/illustrations/2019/11/15/997767/sm.Screen-Shot-2019-11-13-at-12.33.17-PM.750.png
В инициативе уже участвуют F5, Google, HackerOne, Intel, IOActive, J.P. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber и VMWare. Они за последние два года помогли выявить и устранить 105 уязвимостей в ряде проектов.
Другим участникам обещаны награды до $3000 за выявленные уязвимости. В интерфейсе GitHub уже доступна возможность получить CVE-идентификатор для проблемы и создать отчёт о ней. Введён в строй каталог уязвимостей GitHub Advisory Database (https://github.com/advisories), содержащий сведения о проблемах с приложениями, размещёнными на GitHub, уязвимых пакетах и так далее.
Кроме того, в систему уже добавили обновлённую защиту, которая следит, чтобы персональные и конфиденциальные данные, вроде токенов, ключей и тому подобных, не попали в публичные репозитории. Как утверждается, система автоматически сканирует форматы ключей от 20 сервисов и облачных систем. Если обнаруживается проблема, то сервис-провайдеру направляется запрос для подтверждения проблемы и отзыва скомпрометированных ключей.
Отметим, что ранее GitHub был приобретён компанией Microsoft. Похоже, что в Редмонде решили всерьёз взяться за безопасность данных.
https://3dnews.ru/997767
А теперь появилась (https://github.blog/2019-11-14-announcing-github-security-lab-securing-the-worlds-code-together/) инициатива GitHub Security Lab, которая предполагает участие всех заинтересованных специалистов в улучшении безопасности открытого ПО.
https://3dnews.ru/assets/external/illustrations/2019/11/15/997767/sm.Screen-Shot-2019-11-13-at-12.33.17-PM.750.png
В инициативе уже участвуют F5, Google, HackerOne, Intel, IOActive, J.P. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber и VMWare. Они за последние два года помогли выявить и устранить 105 уязвимостей в ряде проектов.
Другим участникам обещаны награды до $3000 за выявленные уязвимости. В интерфейсе GitHub уже доступна возможность получить CVE-идентификатор для проблемы и создать отчёт о ней. Введён в строй каталог уязвимостей GitHub Advisory Database (https://github.com/advisories), содержащий сведения о проблемах с приложениями, размещёнными на GitHub, уязвимых пакетах и так далее.
Кроме того, в систему уже добавили обновлённую защиту, которая следит, чтобы персональные и конфиденциальные данные, вроде токенов, ключей и тому подобных, не попали в публичные репозитории. Как утверждается, система автоматически сканирует форматы ключей от 20 сервисов и облачных систем. Если обнаруживается проблема, то сервис-провайдеру направляется запрос для подтверждения проблемы и отзыва скомпрометированных ключей.
Отметим, что ранее GitHub был приобретён компанией Microsoft. Похоже, что в Редмонде решили всерьёз взяться за безопасность данных.
https://3dnews.ru/997767