Komoly pénzeket fizet a GitHub a hibavadászoknak
A GitHub az évek során több mint egymillió dollárt fizetett azon hibavadászoknak, akik biztonsági réseket tártak fel a különféle rendszereiben.A GitHub is abba a csoportba tartozik, amelynek képviselői előszeretettel vesznek igénybe külső segítséget a rendszereik biztonságának fokozása érdekében. Azok a cégek, amelyek már indítottak hibavadászatot, többnyire pozitívan nyilatkoznak e kezdeményezésekről, és azt is gyakorta látjuk, hogy ezeket a programokat újabb és újabb szoftverekre, szolgáltatásokra terjesztik ki.
A hibavadászatról a GitHub képviselői is hasonlóan pozitív véleményeket fogalmaztak meg. A GitHub 2014 februárja óta fogadja a külső kutatót hibabejelentéseit. 2016 óta pedig a HackerOne platformon keresztül kapja az értesítéseket a különféle biztonsági résekről, amelyekért természetesen jutalmat is ad. Összességében nem is keveset, hiszen 2014 óta több mint egymillió dollárt fizetett ki a hibavadászoknak. Tavaly 590 ezer dollárt osztott ki.
A GitHub statisztikája azt mutatja, hogy a sérülékenységekkel kapcsolatos bejelentések száma évről évre emelkedik. Ennek ellenére örömteli hír, hogy átlagosan 17 óra alatt válaszol az etikus hackerek észrevételeire, és a lehető leghamarabb megkezdi a biztonsági rések befoltozását.
Az üzemeltetők 2019 kapcsán két sebezhetőséget emeltek ki. Az egyik egy OAuth-tal összefüggő, súlyos biztonsági rendellenesség volt, ami jogosulatlan hozzáférésekhez járulhatott volna hozzá, ha rossz kezekbe kerül. Ezt a sérülékenységet a fejlesztők a bejelentéstől számított három órán belül megszüntették, és egyben a felfedezőt 25 ezer dolláros jutalomban részesítették. Egy másik, szintén tavaly feltárt sebezhetőség pedig jogosulatlan távoli kódfuttatásra, valamint parancsbefecskendezésre adott lehetőséget.
Bővülő céltábla
A bejelentett sérülékenységek száma nem kizárólag azért növekszik, mert az etikus hackerek mind több erőforrást áldoznak a GitHub-féle hibavadászatra, hanem azért is, mert a GitHub egyre több megoldását teszi vizsgálhatóvá. Vagyis folyamatosan vonja be a biztonsági programjába az új szolgáltatásait. Egyes esetekben még azon rendszereit is tesztelteti, amelyek a nagy nyilvánosság számára még nem elérhetők. Igaz ekkor csak egy privát hibavadász programon keresztül lehet hackerkedni, amely meghívásos alapon működik.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.