GitHub больше не хочет, чтобы пользователи называли и стыдили недостатки безопасности

GitHub больше не хочет, чтобы пользователи называли и стыдили недостатки безопасности

16 ноября 2022 г.

GitHub позволяет разработчикам незаметно уведомлять своих коллег об обнаруженных уязвимостях. Компания заявляет, что это позволит избежать игры «имя и позор» и предотвратит злоупотребления, которые могут возникнуть в результате публичного раскрытия информации.

В запись в блоге ранее на этой неделе, сообщил GitHub, учитывая, как эта платформа установлен в настоящее время, иногда нет другого выхода, кроме как публично раскрыть уязвимость — и до программы для удаления вредоносного ПО могут быть развернуты, предупреждая потенциальных участников угрозы.

«Исследователи безопасности часто считают себя ответственными за предупреждение пользователей об уязвимости, которая может быть использована», — говорится в блоге. «Если нет четких инструкций по обращению к сопровождающим репозитория, содержащего уязвимость. Это потенциально может привести к публичному раскрытию сведений об уязвимости».

Частные отчеты об уязвимостях

Чтобы решить эту проблему, GitHub теперь представляет частные отчеты об уязвимостях — по сути, простую форму отчета.

Когда разработчик пытается связаться с сопровождающим затронутой уязвимости через частное сообщение об уязвимости, последний может принять его, задать дополнительные вопросы или отклонить его.

Подробнее

> Вот лучшие брандмауэры на рынке

> Вы будете скоро вы сможете писать код на GitHub только своим голосом

> На Microsoft подали в суд из-за пиратства Github Copilot

«Если вы примете отчет, вы готовы совместно с исследователем безопасности совместно работать над исправлением уязвимости», — поясняется в сообщении.

Платформа, принадлежащая Microsoft, также надеется на это раскрытие информации. Метод упростит устранение неполадок, поскольку отчеты обрабатываются в одном месте. Кроме того, это дает специалистам по сопровождению возможность обсудить детали уязвимости наедине с исследователями безопасности и, в конечном итоге, использовать программное обеспечение для управления исправлениями для совместной работы над исправлением.

Сообщество репозитория приветствовало эту новость, Реестр сообщил. Он поговорил с несколькими техническими директорами, техническими инженерами и охотниками за угрозами, и все они согласны с тем, что такая функция пользуется большим спросом на GitHub.

Оригинал

Categories

PREVIOUS ARTICLE
NEXT ARTICLE