Το GitHub ανακοίνωσε ότι πλέον η ιδιωτική αναφορά ευπάθειας είναι διαθέσιμη σε όλους και μπορεί να ενεργοποιηθεί σε όλα τα αποθετήρια που ανήκουν σε έναν οργανισμό.
Δείτε επίσης: Twitter: Τμήματα του source code διέρρευσαν στο GitHub
Μόλις ενεργοποιηθεί, οι ερευνητές ασφαλείας μπορούν να χρησιμοποιήσουν ένα αποκλειστικό κανάλι επικοινωνίας για να αποκαλύψουν ιδιωτικά ζητήματα ασφάλειας στους συντηρητές ενός έργου ανοιχτού κώδικα, χωρίς να διαρρεύσουν κατά λάθος λεπτομέρειες της ευπάθειας.
Οι Eric Tooley και Kate Catlin του GitHub δήλωσαν ότι αυτό είναι ένα κανάλι ιδιωτικής συνεργασίας που βοηθάει τους ερευνητές και τους συντηρητές να αναφέρουν και να διορθώσουν ευπάθειες σε δημόσια αποθετήρια.
Κατά τη διάρκεια της παγκόσμιας εκδήλωσης προγραμματιστών GitHub Universe 2022, ανακοινώθηκε πως περισσότεροι από 30.000 οργανισμοί έχουν ενεργοποιήσει την ιδιωτική αναφορά ευπάθειας σε περισσότερα από 180.000 αποθετήρια. Επιπλέον, έχουν ληφθεί περισσότερες από 1.000 υποβολές από ερευνητές ασφαλείας σχετικά με αυτό.
Κατά τη δοκιμαστική φάση beta του λογισμικού, μόνο οι συντηρητές και οι κάτοχοι αποθετηρίων σε μεμονωμένα αποθετήρια μπορούσαν να ενεργοποιήσουν τη λειτουργία αναφοράς ιδιωτικών τρωτών σημείων. Από αυτήν την εβδομάδα, έχει ενεργοποιηθεί το απευθείας κανάλι αναφοράς ευπάθειας για όλα τα αποθετήρια εντός ενός οργανισμού.
Το GitHub έχει δημιουργήσει ένα νέο API συμβουλών ασφαλείας που υποστηρίζει ενοποίηση και αυτοματισμό. Αυτό το API επιτρέπει την αποστολή ιδιωτικών αναφορών σε συστήματα διαχείρισης ευπάθειας τρίτων, καθώς και την υποβολή της ίδιας αναφοράς σε πολλά αποθετήρια που μοιράζονται ένα ελάττωμα ασφαλείας.
Δείτε ακόμα: GitHub: Ήρθε το Copilot με ενσωματωμένο το GPT-4!
Μπορείτε να το ρυθμίσετε έτσι ώστε η ιδιωτική αναφορά σφαλμάτων να ενεργοποιείται αυτόματα για όλα τα νέα δημόσια αποθετήρια. Η λειτουργία μπορεί να ενεργοποιηθεί στην ενότητα “Ασφάλεια και ανάλυση κώδικα” κάνοντας κλικ στο κουμπί “Ενεργοποίηση όλων” δίπλα στην επιλογή “Ιδιωτική αναφορά ευπάθειας“.
Οι ιδιοκτήτες και διαχειριστές δημόσιων αποθετηρίων πρέπει να αλλάξουν την ιδιωτική αναφορά ευπάθειας, έτσι ώστε να λαμβάνουν αναφορές σφαλμάτων στην ίδια πλατφόρμα επίλυσης τους, να συζητούν όλες τις λεπτομέρειες με τους ερευνητές και να συνεργάζονται ασφαλώς μαζί τους, προκειμένου να δημιουργήσουν ενημέρωση κώδικα.
Μετά την ενεργοποίηση, οι ερευνητές ασφαλείας μπορούν να υποβάλλουν ιδιωτικές αναφορές ασφαλείας απευθείας στο GitHub. Για να το κάνουν αυτό, πρέπει να πάνε στην καρτέλα Ασφάλεια κάτω από το όνομα του αποθετηρίου και να κάνουν κλικ στην επιλογή “Αναφορά ευπάθειας” στην αριστερή πλευρά της οθόνης, στην ενότητα “Αναφορά” > “Συμβουλές”.
Μπορείτε να στείλετε ιδιωτικές αναφορές σφαλμάτων μέσω του GitHub REST API χρησιμοποιώντας τις παραμέτρους που περιγράφονται στη σελίδα τεκμηρίωσης.
Τον περασμένο μήνα, το GitHub ανακοίνωσε ότι η υπηρεσία μυστικών ειδοποιήσεων σάρωσης είναι πλέον διαθέσιμη για όλα τα δημόσια αποθετήρια.
Δείτε επίσης: Secret Scanning Alerts του GitHub: Διαθέσιμα δωρεάν στα δημόσια repositories
Προγραμματιστές από όλο τον κόσμο χρησιμοποιούν το GitHub για να μοιράζονται κώδικα, να συνεργάζονται με μέλη της ομάδας και να δημιουργούν εκπληκτικά έργα. Με εκατομμύρια χρήστες, το GitHub έχει γίνει γρήγορα ένα απαραίτητο εργαλείο για οποιοδήποτε έργο προγραμματισμού. Είτε είστε νέος είτε έμπειρος προγραμματιστής, η κατανόηση των στοιχείων του GitHub μπορεί να σας προσφέρει ανταγωνιστικό πλεονέκτημα.
