Af Eskil Sørensen, 03/05/23
GitHub har gjort funktion til rapportering af sårbarheder i open source-depoter tilgængelig for alle projektejere.
Det skriver Help Net Security på baggrund af en advisory fra GitHub.
Funktionen har hidtil kun været tilgængelig i en betafunktion – men trods det, har ’vedligeholdere’ fra mere end 30.000 organisationer alligevel aktiveret privat sårbarhedsrapportering på mere end 180.000 depoter siden november 2022. Det har affødt mere end 1000 meddelelser fra sikkerhedsresearchere.
Help Net Security skriver, at funktionen til rapportering af private sårbarheder giver en direkte samarbejdskanal, hvilket gør det lettere for researchere at rapportere sårbarheder, og dermed bliver det også nemmere for dem, der skal håndtere sårbarhederne, at rette dem.
Det fremgår også, at det med den brede tilgængeliggørelse af funktionen nu er muligt for vedligeholderne aktivere den på alle arkiver – i modsætning til betaversionen, hvor funktionen kun har kunnet været aktiveret på selvstændige arkiver.
GitHub skriver selv i sin advisory, at researchere ofte føler sig ansvarlige for at advare brugerne om en sårbarhed, der kan udnyttes. Men hvis de ikke ved, hvordan de skal kontakte dem, der vedligeholder depotet med sårbarheden, så har de ’muligvis’ ikke andet valg end at skrive om sårbarheden på sociale medier. Men det kan føre til offentliggørelse af sårbarhedsdetaljerne.
Med den private sårbarhedsrapportering er det blevet nemmere for både sikkerhedsresearchere og projektejeren på GitHub at få de nødvendige oplysninger.
Links:
https://www.helpnetsecurity.com/2023/04/27/github-vulnerability-reporting/