代码托管公司GitHub推出了一个新的直接渠道,供安全研究人员报告公共存储库中的漏洞。
该特性需要存储库维护人员手动启用,一旦激活,安全研究人员就可以报告在其代码中发现的任何漏洞。
微软旗下的平台在最近的一篇博客文章中写道:“通过启用私有漏洞报告,公共存储库的所有者和管理员可以允许安全研究人员安全地报告存储库中的漏洞。”
据该公司称,安全研究人员经常觉得有责任提醒用户可能被利用的漏洞。
然而,由于缺乏与包含漏洞的存储库的维护者联系的明确指示,研究人员可能不得不在社交媒体上披露漏洞或直接向维护者发送消息,这可能导致漏洞细节的公开披露。
Netenrich的主要威胁猎人John Bambenek说:“在GitHub中,报告问题的默认行为是使用问题功能(或潜在的git请求)。指的是GitHub上之前披露漏洞的系统。”
Bambenek告诉Infosecurity:“两者都是公开的,这让攻击者知道存在问题,他们可以利用最初报告的年龄进一步通知他们的目标,攻击者在补丁可用和普遍应用之间还有一个窗口期。我们不需要给他们更多的时间。”
因此,设计这个新功能的目的是让安全研究人员更容易直接使用一个简单的表单报告漏洞。
Bugcrowd的创始人兼CTO Casey Ellis说:“Github在这里得到了充分的支持,不仅因为它创建了一个工作流来促进漏洞披露,更重要的是,它使外部世界对F/OSS维护者和开发人员的安全反馈的重要性正常化。”
在收到漏洞警报后,安全研究人员可以接受它、询问更多问题或拒绝它。如果他们决定接受它,他们将能够与发现该漏洞的人合作。
几个星期前,Checkmarx发现了GitHub中的一个漏洞,据报道,该漏洞可以使攻击者控制存储库,并将恶意软件传播到相关应用程序和代码。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
