Aumentando ainda mais o conjunto de recursos disponíveis, o GitHub já permite ativar relatórios privados de vulnerabilidade.
Sim. O GitHub anunciou que os relatórios privados de vulnerabilidade agora estão disponíveis e podem ser ativados em escala, em todos os repositórios pertencentes a uma organização.
GitHub já permite ativar relatórios privados de vulnerabilidade
Uma vez ativado, os pesquisadores de segurança podem usar este canal de comunicação dedicado para divulgar problemas de segurança de forma privada aos mantenedores de um projeto de código aberto sem vazar acidentalmente detalhes de vulnerabilidade.
Este é “um canal de colaboração privado que torna mais fácil para pesquisadores e mantenedores relatar e corrigir vulnerabilidades em repositórios públicos”, disseram Eric Tooley e Kate Catlin, do GitHub.
Desde sua introdução como um recurso opcional em novembro de 2022 durante o evento de desenvolvedor global GitHub Universe 2022, “os mantenedores de mais de 30 mil organizações permitiram relatórios privados de vulnerabilidade em mais de 180 mil repositórios, recebendo mais de 1.000 envios de pesquisadores de segurança”.
Durante a fase de teste beta público, a opção de relatar vulnerabilidades privadas só poderia ser ativada por mantenedores e proprietários de repositórios apenas em repositórios únicos.
A partir desta semana, eles podem habilitar este canal direto de relatórios de bugs para todos os repositórios dentro de sua organização.
O GitHub também adicionou suporte de integração e automação por meio de uma nova API de consultoria de segurança de repositório que permite enviar relatórios privados para sistemas de gerenciamento de vulnerabilidade de terceiros e enviar o mesmo relatório para vários repositórios compartilhando uma falha de segurança.
Ele também pode ser configurado para que relatórios privados de bugs sejam ativados automaticamente em todos os novos repositórios públicos.
A funcionalidade pode ser ativada em ‘Segurança e análise de código’ clicando no botão ‘Ativar tudo’ ao lado da opção ‘Relatório de vulnerabilidade privada’.
Proprietários e administradores de repositórios públicos devem alternar relatórios de vulnerabilidade privados para garantir que recebam relatórios de bugs na mesma plataforma onde são resolvidos, discuta todos os detalhes com pesquisadores e colabore com segurança com eles para criar um patch.
Depois de ativado, os pesquisadores de segurança podem enviar relatórios de segurança privada diretamente no GitHub na guia Segurança sob o nome do repositório clicando em ‘Relatar uma vulnerabilidade’ na barra lateral esquerda, em Relatórios > Recomendações.
Relatórios de bug privados também podem ser enviados por meio da API REST do GitHub usando os parâmetros descritos nesta página de documentação.
No mês passado, o GitHub também anunciou que seu serviço secreto de alertas de varredura agora está disponível para todos os repositórios públicos.