GitHub'a layihələrdəki boşluqların aşkar edilib və aradan qaldırılması üçün yeniliklər əlavə edilib

GitHub'a layihələrdəki boşluqların aşkar edilib və aradan qaldırılması üçün yeniliklər əlavə edilib

Code-News
15.11.2019 PAYLAŞIM

    GitHub servisi GitHub Security Lab. adlı layihəni təqdim edib. Bu layihə açıq mənbəli koda sahib layihələrin sahib olduqları boşluqların aşkar edilib və aradan qaldırılması üçün müxtəli şirkət və təşkilatlardan olan təhlükəsizlik üzrə mütəxəssislərin birgə çalışmasına yönəldilib. Sözügedən təşəbbüsə maraq göstərən bütün şirkətlər və kompüter təhlükəsizliyi üzrə fərdi mütəxəssislər layihəyə dəvət olunurlar. Bu barədə Opennet.ru saytı xəbər verib. Müəyyən sistem boşluqlarının aşkar ediməsinə görə mütəxəssislər 3000$-a kimi mükafat əldə edəcəklər. Mükafatın verilməsi isə aşkar edilmiş problemin ciddilik səviyyəsindən və həmin problem üzrə hazırlanmış hesabatın keyfiyyətindən asılı olacaq.

    Problemlər barəsində məlumatların göndərilməsi üçün CodeQL alətindən istifadə etmək təklif olunur. Bu yeni təşəbbüsə artıq F5, Google, HackerOne, Intel, IOActive, J.P. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, UberVMWare şirkətlərinin təhlükəsizlik mütəxəssisləri qoşulublar. Son 2 il ərzində bu mütəxəssislər Chromium, libssh2, Linux nüvəsi, Memcached, UBoot, VLC, Apport, HHVM, Exiv2, FFmpeg, Fizz, libav, Ansible, npm, XNU, Ghostscript, Icecast, Apache Struts, strongSwan, Apache Ignite, rsyslog, Apache Geode Hadoop kimi layihələrdə ümumilikdə 105-ə yaxın sistem boşluğunu aradan qaldırıblar.

    GitHub-da kodun təhlükəsizliyinin təmin olunması müddəti o deməkdir ki, GitHub Security Lab. iştirakçıları boşluqları aşkar edərək onlar barəsində məlumatları meinteynerlərə və tərtibatçılara göndərəcəklər. Onlar isə öz növbələrində həmin problemlərin aradan qaldırılması üçün alətlər hazırlayacaqlar. Məlumatlar bazasında CodeQL şablonlar yerləşdiriləcək və həmin şablonlar aradan qaldırılmış problemlərin bir daha ortaya çıxmamasının qarşısını alacaqlar. GitHub interfeysindən aşkar edilmiş problemlərə artıq CVE identifikator əldə etmək və problemlə bağlı hesabatı hazırlamaq olur.

    GitHub avtomatik şəkildə lazımi bildirişləri göndərəcək və problemin aradan qaldırılmasının təşkilini reallaşdıracaq. Bundan əlavə olaraq problemin aradan qaldırılmasından sonra GitHub problemli layihənin yenilənməsi üçün avtomatik pool bildiriş də göndərəcək. GitHub həmçinin öz sisteminə GitHub Advisory Database adlı boşluqlar kataloqunu əlavə edib. Həmin kataloqda GitHub layihələrinə şamil olunan boşluqlar barəsində məlumatlar yer alır. GitHub-dakı rəylərdə istifadəçilər tərəfindən təqdim edilmiş CVE identifikatorlar avtomatik olaraq bu məlumatlar bazasındakı boşluqlar barəsində geniş məlumat yığımına yönləndirirlər. Məlumatlar bazasının işinin avtomatlaşdırılması üçün həmçinin ayrıca API da təqdim edilib. 



SİZƏ MARAQLI OLACAQ BİR NEÇƏ MƏLUMAT


StackOverflow-dakı ən məşhur Java kod nümunəsi səhv imiş

StackOverflow-da qeyd edilmiş ən məşhur Java kod nümunəsi müəyyən şərtlərdə düzgün olmayan nəticələr..


PyPl Python paketlər kataloqunda iki zərərli kitabxana aşkar edilib

PyPl (Python Package Index) adlı Python paketləri kataloqunda python3-dateutil və jellyfish adlı zər..


Microsoft, Rust əsasında yeni proqramlaşdırma dilini inkişaf etdirir

Microsoft şirkəti Verona adlı təcrübi layihə çərçivəsində Rust proqramlaşdırma dilinin əsasında hazı..


Linux-da istifadə olunan aparat təminatı tendensiyaları

 Linux-Hardware.org layihəsi son 5 ildə Linux-da işlədilən təchizatların statistikasını təqdim edib...


Firefox Nightly-də istifadəçinin identifikasiyası üzrə gizli üsulların bloklanma..

Firefox Nightly-də istifadəçilərin gizli identifikasiyalar (browser fingerprinting) vasitəilə izlənm..


Roboto adlı botnet zəif Webmin-li Linux serverlərinə hücumlar edir

Qihoo 360 Netlab mütəxəssisləri bu ilin yay fəslində ortaya çıxmış və Webmin-dəki boşluqdan istifadə..