GitHub позволяет разработчикам ненавязчиво уведомлять своих коллег об обнаруженных уязвимостях. Компания заявляет, что это позволит избежать игры «имя и позор» и предотвратит эксплойты, которые могут быть результатом публичного раскрытия.
В сообщении в блоге (открывается в новой вкладке) ранее на этой неделе GitHub сообщил, что, учитывая текущую конфигурацию платформы, иногда нет другого выбора, кроме как публично раскрыть уязвимость, и до того, как она может быть развернута, программное обеспечение для удаления вредоносных программ, предупреждая вас к потенциальным угрозам. актеры
«Исследователи безопасности часто считают себя ответственными за предупреждение пользователей об уязвимости, которая может быть использована», — говорится в сообщении в блоге. «Если нет четких инструкций по обращению к сопровождающим репозитория, содержащего уязвимость, это потенциально может привести к публичному раскрытию сведений об уязвимости.
Частный отчет об уязвимости
Чтобы решить эту проблему, GitHub теперь представил частный отчет об уязвимостях, по сути, простую форму отчета.
Когда разработчик пытается связаться с сопровождающим затронутой уязвимости через частный отчет об уязвимости, сопровождающий может принять его, задать дополнительные вопросы или отклонить его.
«Если вы принимаете отчет, вы готовы совместно с исследователем безопасности совместно работать над исправлением уязвимости», — поясняется в сообщении.
Платформа, принадлежащая Microsoft, также надеется, что этот метод раскрытия информации упростит решение проблем, поскольку отчеты обрабатываются в одном месте. Кроме того, это дает специалистам по сопровождению возможность обсуждать детали уязвимости в частном порядке с исследователями безопасности и, в конечном итоге, использовать программное обеспечение для управления исправлениями для совместной работы над исправлением.
Сообщество репозитория приветствовало эту новость, сообщает The Register (opens in a new tab). Он поговорил с несколькими техническими директорами, техническими инженерами и охотниками за угрозами, которые согласились, что эта функция пользуется большим спросом на GitHub.