GitHub выпустил инструмент для отчётов об уязвимостях в проектах с открытым исходным кодом
В GitHub появилась возможность конфиденциально сообщать об уязвимостях, обнаруженных в репозиториях. Обновление призвано улучшить коммуникацию между разработчиками проектов с открытым исходным кодом и исследователями безопасности.
В блоге компании рассказали, что часто у исследователей просто не бывает удобной и быстрой возможности связаться с разработчиком. До недавнего времени сообщить об уязвимости можно было с помощью объявления проблем в проекте или через внешние каналы связи с владельцем репозитория. Если рассказать об уязвимости публично, то о ней узнают и злоумышленники, а внешние каналы связи не всегда бываю указаны и не гарантируют моментальное информирование.
Ещё во время мероприятия GitHub Universe 2022 команда сервиса анонсировала конфиденциальный способ делиться информацией об уязвимостях. Тогда же компания запустила публичный бета-тест. За год функцию активировали более 30 тыс. организаций в 180 тыс. репозиториев, получив около тысячи отчётов об уязвимостях. Сейчас GitHub открывает возможность для всех пользователей.
Отчёты можно активировать сразу во всём пространстве организации, хотя во время тестирования надо было включать функцию отдельно для каждого репозитория. Также в GitHub рассказали, что возможность работать с конфиденциальными отчётами об уязвимостях появилась и в фирменном API.
