Истина где-то ниже
Октябрь 24, 2018

GitHub усиливает мониторинг защиты размещенных проектов

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Владельцы репозитория GitHub объявили о нескольких нововведениях, призванных улучшить защиту представленных на сайте программ. Создатели хранилища увеличили количество языков, поддерживаемых сервисом автоматического поиска уязвимостей, и запустили службу поиска вшитых в код токенов авторизации. Помимо этого, пользователи платформы получили возможность интегрировать рекомендации по безопасности в свои программы при помощи специального программного интерфейса.

Разработчики добавили проверку скриптов, написанных на .NET и Java, в инструмент мониторинга уязвимостей GitHub Vulnerability Alert. Включение новых языков стало следующим шагом в развитии сервиса, который изначально поддерживал JavaScript и Ruby, а чуть позднее запустил валидацию кода на Python. Служба сканирует загруженные в хранилище проекты в поиске известных брешей и сообщает об обнаруженных проблемах автору.

Новый алгоритм поиска вшитых токенов авторизации призван защитить размещенные в хранилище программы от взлома. Система проверит код проектов на наличие в нем паролей по умолчанию, криптографических ключей и других идентификационных данных, которыми могут воспользоваться злоумышленники. GitHub будет отслеживать уязвимые разработки и ожидать от разработчика удаления закладки, а также изменения потенциально скомпрометированных учетных данных.

Репозиторий собирает и анализирует информацию об уязвимостях в миллионах проектов. При помощи нового движка Security Advisory API разработчики смогут обращаться к этой базе данных и использовать в своих продуктах размещенные там рекомендации по безопасности и другие сведения. Представители GitHub считают, что подобный сервис может быть использован при создании инструментов для программистов и ИБ-экспертов.

GitHub не только проверяет на бреши сторонние разработки, но и уделяет внимание защите собственных продуктов. В прошлом году компания заплатила $18 тыс. независимому исследователю из Германии за обнаружение серьезного бага в консоли GitHub Enterprise. Уязвимость позволяла киберпреступнику удаленно запустить вредоносный скрипт на устройствах, использующих эту программу.

Источник: https://threatpost.ru/github-strengthens-security-monitoring-tools/28844/