GitHub上周正式启用了自去年11月便展开测试的私下漏洞通报(Private Vulnerability Reporting)渠道,可让安全研究人员更方便通报公共储存库的漏洞予项目维护人员。
过去安全研究人员在发现项目漏洞之后,有时会直接张贴在社交媒体,建立一个公开issue,或是传讯给维护者,而私下漏洞通报则允许研究人员利用一个简单的格式直接向维护人员揭露漏洞,并让双方得以合作进行修复。
项目维护人员可于存储库设置中的代码安全与分析(Code Security and Analysis)启用此一新功能,有别于测试版必须在每个个别的储存库中设置,正式版新增了一个选项,可让维护人员一次启用组织内的所有储存库; 亦可选择如何归功漏洞的发现,例如来自分析师、工具或简单的发现者。
正式版还有全新的储存库安全公告API(Repository Security Advisories API ),可用来与第三方系统整合,包括将GitHub上的漏洞报告传送至第三方的漏洞管理平台,让安全研究人员可将同一个漏洞报告提交至不同的储存库,或是作为漏洞警报之用。
GitHub表示,此一漏洞通报渠道自去年11月进行公开测试之后,就有超过3,000家组织的维护人员于18万个储存库中启用了该功能,所收到的漏洞通报超过1,000笔。 JSON5项目利用该渠道与安全研究人员取得了联系,其修补程序触发了逾1,100万个警报,除了彰显JSON5的热门程度之外,也展现了此一功能的价值。
私下漏洞通报主要供公共储存库使用,且为一免费服务。
