GitHub больше не хочет, чтобы пользователи называли и стыдили недостатки безопасности
16 ноября 2022 г.GitHub позволяет разработчикам незаметно уведомлять своих коллег об обнаруженных уязвимостях. Компания заявляет, что это позволит избежать игры «имя и позор» и предотвратит злоупотребления, которые могут возникнуть в результате публичного раскрытия информации.
В запись в блоге ранее на этой неделе, сообщил GitHub, учитывая, как эта платформа установлен в настоящее время, иногда нет другого выхода, кроме как публично раскрыть уязвимость — и до программы для удаления вредоносного ПО a> могут быть развернуты, предупреждая потенциальных участников угрозы.
«Исследователи безопасности часто считают себя ответственными за предупреждение пользователей об уязвимости, которая может быть использована», — говорится в блоге. «Если нет четких инструкций по обращению к сопровождающим репозитория, содержащего уязвимость. Это потенциально может привести к публичному раскрытию сведений об уязвимости».
Частные отчеты об уязвимостях
Чтобы решить эту проблему, GitHub теперь представляет частные отчеты об уязвимостях — по сути, простую форму отчета.
Когда разработчик пытается связаться с сопровождающим затронутой уязвимости через частное сообщение об уязвимости, последний может принять его, задать дополнительные вопросы или отклонить его.
«Если вы примете отчет, вы готовы совместно с исследователем безопасности совместно работать над исправлением уязвимости», — поясняется в сообщении.
Платформа, принадлежащая Microsoft, также надеется на это раскрытие информации. Метод упростит устранение неполадок, поскольку отчеты обрабатываются в одном месте. Кроме того, это дает специалистам по сопровождению возможность обсудить детали уязвимости наедине с исследователями безопасности и, в конечном итоге, использовать программное обеспечение для управления исправлениями a> для совместной работы над исправлением.
Сообщество репозитория приветствовало эту новость, Реестр сообщил. Он поговорил с несколькими техническими директорами, техническими инженерами и охотниками за угрозами, и все они согласны с тем, что такая функция пользуется большим спросом на GitHub.
- Ознакомьтесь с нашим списком наилучшей защиты конечных точек. услуги вокруг
Оригинал