近日,在GitHub Universe开发者大会上,GitHub宣布启动了一个名为securitylab(安全实验室) 的新社区计划。
该计划将来自不同组织的安全研究人员召集在一起,以寻找并帮助修复流行的开源项目中的错误(漏洞)。创始成员包括来自HackerOne,F5,Microsoft,Google,Intel,Mozilla,Oracle,Uber,VMWare,LinkedIn,JP Morgan,NCC Group,IOActive,Trail of Bits等组织的安全研究人员。
目前,安全实验室的创始成员已经发现报告并帮助修复了100多个安全漏洞。
最重要的地址:
https://securitylab.github.com/
此外,其还公布了一个新开源工具,名为codeql,以使任何致力于保护开源安全的人都能轻松实现安全性,实际上为语义代码分析引擎,旨在跨大量代码查找同一漏洞的不同版本。使用CodeQL,可以像对待数据一样查询代码。编写查询以查找该漏洞的所有变体,并永久消除它。然后分享查询结果,以帮助其他人也这样做。
https://securitylab.github.com/tools/codeql/
语句类似这样子
并且还可以在lgtm平台上直接编写代码分析语句,可以说是很人性化了。
https://lgtm.com/query/rule:1823453799/lang:java/
更人性化的是其还开设了专门针对codeql的CTF比赛,专门用来挖掘代码漏洞,可见其为推广工具,花费的功夫很大,并且很贴近安全研究员的学习和使用思路。
https://securitylab.github.com/ctf
更值得一提的是,在Research这一栏有很多研究人员挖和分析漏洞的技术经验分享
以上几项,对于代码漏洞挖掘者来说,可以起到很好的学习作用。
此外,GitHub最近还成为了授权的CVE编号颁发机构(CNA),这意味着它可以发布漏洞的CVE标识符。
对于促进开源项目界的代码安全可以起到不错的作用。
当然更重要的是:金钱的诱惑,以及代表荣誉的CVE。
赏金规则查看:
https://securitylab.github.com/bounties
但从描述来看,Github还是希望安全研究员使用CodeQL进行挖掘新漏洞,并可以提交赏金。最高获得2500美元。
除了发现漏洞有钱之外,编写CodeQL查询,如果写的够好,也可以拿钱,最高可以拿3000美元。
体验一下也是不错的。
推荐阅读
都变了。
▲所谓的“匿名者”黑客又搞事?列清单声称攻击香港站点
奇葩。
▲服务器被耗尽磁盘空间后,才发现公司已被黑客入侵
