大幅度提高安全性!GitHub私有漏洞报告正式上线 推荐所有维护者启用
2023-4-20 15:38:34 Author: www.landiannews.com(查看原文) 阅读量:17 收藏

私有漏洞报告机制(Private Vulnerability Reporting)是 GitHub 在 2022 年推出的新功能,经过一大段时间的预览后,现在这个功能向所有项目开放,开源项目维护者可以自行开启此功能允许安全研究人员提交漏洞。

原本对于非 GitHub 官方的项目或大型开源组织的项目,如果发现漏洞,研究人员需要想办法找到维护者的联系方式,可能还需要在 issue 里提交说明, 这不仅麻烦、时间长还可能提前导致漏洞公开导致安全问题。

大幅度提高安全性!GitHub私有漏洞报告正式上线 推荐所有维护者启用

新的私有漏洞报告机制就是针对这类问题的解决方案,研究人员发现漏洞可以直接通过此机制向维护者提交漏洞说明乃至改进意见,这个机制还提供拉取请求草案的协作渠道,维护者收到提醒后可以直接检查代码并修复。

以前即便找到联系邮箱,有时候研究人员发送的通报邮件也可能会被当做钓鱼邮件忽略,现在这种情况基本不存在了,因为这用通过私有邮件联系。

以下是该机制的主要功能:

大规模启用:公测期间只能在单个存储库上启用漏洞报告机制,现在维护者可以在所有存储库启用该机制。

向研究人员致谢:GitHub 为维护者提供功能,可以选择不同类型的标签向研究人员致谢,例如 Reporter

集成和自动化:

1. 与第三方系统集成,维护者可以将漏洞报告从 GitHub 传输到第三方漏洞管理系统

2. 自动提交:研究人员可以利用 API 检索多个仓储库存在的漏洞,如果漏洞都是相同的,那可以批量发送节省时间

3. 漏洞警报:任何人都可以通过自动 ping 接受新漏洞报告关注后续的更新 (可以接收通知但无法查看漏洞细节)

有关私有漏洞报告机制的支持文档请查看:https://docs.github.com/en/code-security/security-advisories/repository-security-advisories/configuring-private-vulnerability-reporting-for-a-repository

版权声明:感谢您的阅读,除非文中已注明来源网站名称或链接,否则均为蓝点网原创内容。转载时请务必注明:来源于蓝点网、标注作者及本文完整链接,谢谢理解。


文章来源: https://www.landiannews.com/archives/98413.html
如有侵权请联系:admin#unsafe.sh