GitHub a révélé que sa fonctionnalité de rapport de vulnérabilité privée pour les référentiels open source est désormais facilement accessible à tous les propriétaires de tâches.
Disponibilité générale
La fonctionnalité de signalement des vulnérabilités personnelles fournit un canal de partenariat direct qui permet aux scientifiques de signaler plus facilement les vulnérabilités et aux responsables de les réparer rapidement.
Il est disponible en version bêta publique depuis novembre 2022.
« Depuis, les responsables de plus de 30 000 organisations ont autorisé le signalement de vulnérabilités personnelles sur plus de 180 000 dépôts, obtenant plus de 1 000 soumissions de la part de chercheurs en sécurité », Kate Catlin et Eric Tooley de GitHub ont partagé.
Maintenant que la fonctionnalité est généralement facilement disponible, les responsables peuvent l’activer sur tous les référentiels de leur organisation (dans la version bêta publique générale, la fonction ne pouvait être autorisée que sur des dépôts).
Autoriser le signalement des vulnérabilités personnelles (Source : GitHub)
Rationalisation du signalement et de la suppression des vulnérabilités
« Parmi les batailles les plus importantes en tant que Le chercheur a en fait pris un premier contact pour divulguer la vulnérabilité au responsable », a déclaré Jonathan Leitschuh, ambassadeur de la sécurité GitHub et scientifique principal pour la tâche OpenSSF Alpha-Omega.
Les rapports de vulnérabilité privés sont pratiques à la fois pour les scientifiques de la sécurité et les responsables de projets : ils leur permettent d’échanger toutes les informations essentielles et d’éviter les allers-retours compliqués par e-mail.
Les scientifiques de la sécurité peuvent également utilisez la toute nouvelle API d’avis de sécurité du référentiel pour ouvrir un rapport de vulnérabilité privé sur plusieurs référentiels (lorsque les bundles partagent une vulnérabilité typique), et les responsables des tâches peuvent transmettre ces rapports de GitHub aux systèmes de gestion des vulnérabilités tiers qu’ils utilisent.
Toute l’actualité en temps réel, est sur L’Entrepreneur