vlambda博客
学习文章列表

Github安全实验室:开源代码分析引擎codeql,设漏洞奖励计划


近日,在GitHub Universe开发者大会上,GitHub宣布启动了一个名为securitylab(安全实验室) 的新社区计划。


该计划将来自不同组织的安全研究人员召集在一起,以寻找并帮助修复流行的开源项目中的错误(漏洞)。创始成员包括来自HackerOne,F5,Microsoft,Google,Intel,Mozilla,Oracle,Uber,VMWare,LinkedIn,JP Morgan,NCC Group,IOActive,Trail of Bits等组织的安全研究人员


Github安全实验室:开源代码分析引擎codeql,设漏洞奖励计划


目前,安全实验室的创始成员已经发现报告并帮助修复了100多个安全漏洞。


https://securitylab.github.com/


Github安全实验室:开源代码分析引擎codeql,设漏洞奖励计划

此外,其还公布了一个新开源工具,名为codeql,以使任何致力于保护开源安全的人都能轻松实现安全性,实际上为语义代码分析引擎,旨在跨大量代码查找同一漏洞的不同版本。使用CodeQL,可以像对待数据一样查询代码。编写查询以查找该漏洞的所有变体,并永久消除它。然后分享查询结果,以帮助其他人也这样做。

https://securitylab.github.com/tools/codeql/


Github安全实验室:开源代码分析引擎codeql,设漏洞奖励计划


语句类似这样子

Github安全实验室:开源代码分析引擎codeql,设漏洞奖励计划


Github安全实验室:开源代码分析引擎codeql,设漏洞奖励计划


并且还可以在lgtm平台上直接编写代码分析语句,可以说是很人性化了。

https://lgtm.com/query/rule:1823453799/lang:java/


Github安全实验室:开源代码分析引擎codeql,设漏洞奖励计划


更人性化的是其还开设了专门针对codeql的CTF比赛,专门用来挖掘代码漏洞,可见其为推广工具,花费的功夫很大,并且很贴近安全研究员的学习和使用思路。

https://securitylab.github.com/ctf

Github安全实验室:开源代码分析引擎codeql,设漏洞奖励计划


更值得一提的是,在Research这一栏有很多研究人员挖和分析漏洞的技术经验分享


Github安全实验室:开源代码分析引擎codeql,设漏洞奖励计划

Github安全实验室:开源代码分析引擎codeql,设漏洞奖励计划

Github安全实验室:开源代码分析引擎codeql,设漏洞奖励计划


以上几项,对于代码漏洞挖掘者来说,可以起到很好的学习作用。


此外,GitHub最近还成为了授权的CVE编号颁发机构(CNA),这意味着它可以发布漏洞的CVE标识符。


对于促进开源项目界的代码安全可以起到不错的作用。


当然更重要的是:金钱的诱惑,以及代表荣誉的CVE。


赏金规则查看:

https://securitylab.github.com/bounties


但从描述来看,Github还是希望安全研究员使用CodeQL进行挖掘新漏洞,并可以提交赏金。最高获得2500美元。

Github安全实验室:开源代码分析引擎codeql,设漏洞奖励计划

除了发现漏洞有钱之外,编写CodeQL查询,如果写的够好,也可以拿钱,最高可以拿3000美元。

Github安全实验室:开源代码分析引擎codeql,设漏洞奖励计划

体验一下也是不错的。



推荐阅读

都变了。


奇葩。


点个赞,每日一个奇葩情报故事