Resumo do Vídeo sobre GitHub Advisor Database

Olá pessoal, neste vídeo eu vou falar do GitHub Advisor Database. Isso é um banco de dados de avisos, né? Vamos trazer o advisory. Espeço de relatório ou relato de vulnerabilidades de software que o GitHub tem. Se você for GitHub.com.br, advisory. ADVISORIS. Tem essa lista aqui, você pode ver... Pode encontrar vulnerabilidades em software. Por exemplo, aqui... Tem um aqui, se a gente clicar essa aqui. Essa vulnerabilidade no Log4j, Log4j, que é uma biblioteca de login usado no Apache. Servidor, né? Java. E ele diz que versões desse software são afetadas. Nesse caso, se a versão for menor aqui, 2.0.7, essa falha é encontrada nesse problema. Tem aqui o nome do pacote, o ecossistema aqui, nesse caso Maven, Java. O GitHub dá um número de identificador. E ele mostra que versão você deve atualizar o software para que tenha o conserto, nesse caso 2.0.7. E tem aqui a descrição dessa vulnerabilidade, falha do software. É associado a esse número de CVE, 2021-40104. CVE como vulnerabilities and exposures. Exposições e vulnerabilidades comuns, que é uma descrição, uma maneira de descrever a vulnerabilidade criada pelo MITRE.org. E cada vulnerabilidade tem um identificador que começa com CVE, o ano, traços, um número. Daquele ano, começa ano. E você vê aqui que mais detalhes em outro website. E tal, e tal. Referências e outros negócios. Aqui mostra quem publicou. Parece que veio desse repositório aqui do GitHub, essa vulnerabilidade. Então, o software está hospedado no GitHub e foi de lá que ele associa a esse repositório, essa vulnerabilidade. Certo. Nessa aba de Penebot Alerts, se você tiver um repositório de GitHub e usar esse software, você pode habilitar a Penebot Alerts e ele vai te avisar que se você estiver usando a versão afetada, nesse caso menor que 2.0.7. E tem outros detalhes aqui na barra lateral à direita. CWE tem esse número que é associado a um tipo de vulnerabilidade. Nesse caso, é o tipo que tem o identificador CWE 502, que é de serialização de dados não confiáveis. E ele descreve esse tipo de falha, vulnerabilidade no software. Tem também essa pontuação de CVSS, que é uma maneira de pontuar a gravidade dessa vulnerabilidade. Nesse caso, gravidade alta, o pontuação 8.1. E esse código aqui tem vários parâmetros, então tem um número à esquerda, é um certo parâmetro, dois pontos, e os carácteres da direita é o valor desse parâmetro. Então tem 8 parâmetros básicos aqui que compõem um CVSS da versão 3.1. E essa compilação desses parâmetros com esses valores gera essa pontuação através de uma fórmula. Certo? Então a gente pode voltar e você pode pesquisar, sei lá, você usa NPM. E você pode pesquisar qualquer pacote que você usa. Por exemplo, se você usa React, por exemplo, clicar no meu digito React, fazer uma busca, ele mostra alguns detalhes aqui, vamos procurar React e os bugs ou vulnerabilidades mais críticos, vou filtrar. Parece que não achei nenhum do pacote mesmo do React, mas algo relacionado ao React, por exemplo, esse pacote React, traço o off, traço o flow, parece que tem a vulnerabilidade. E parece até que não tem concerto, não tem nenhum concerto. Então de acordo com esse aviso, não seria recomendado você usar essa biblioteca. Se você se importa com esse problema aqui, está dizendo que todas as versões desse pacote falham de implementar corretamente o protocolo off. Então se você estiver usando o off, talvez não seja uma boa usar essa biblioteca. E tem várias outras, tem Go aqui, só tirar o React. Tem esse pacote da HashiCorp, Volts, que tem essa vulnerabilidade. E tem um dos tipos aqui, deixa eu voltar. Um dos tipos, autenticação, passou, pur spoofing, verificação insuficiente da autenticidade dos dados, e tem a descrição e os referências e tal e tal. E as versões de concerto aqui no patch versions e a versão afetada no affected versions. É que eu se chama Go e o nome do pacote é esse GitHub.com, a HashiCorp para Volts. Eu vou tiver algum alerta que aparece aqui, que é usar alertas nos repositórios. Então é isso pessoal, se você quiser dar uma olhada aí, GitHub.com-advisories, ADVI, SORRI, ES. Se quiser dar uma olhada nessa lista de vulnerabilidades para vários ecossistemas. Se você estiver interessado em cyber segurança, cybersecurity, quiser ler mais sobre isso, fica à vontade. Então por essa é só, espero que tenham gostado dessa e até a próxima. Tchau.