GitHub 为公开仓库设立非公开漏洞报告渠道,保护开源软件安全
编译:代码卫士
某些仓库中可能会包含如何联系维护人员的指南,但对于没有提供这种指南的仓库,研究人员通常会公开报告这些问题。不管研究人员是通过社交媒体还是创建公开问题清单报告,皆可导致漏洞详情被错误公开。为避免这种情况,GitHub 推出了非公开漏洞报告机制,研究人员可直接联系愿意参与的仓库维护人员。
如启用该功能,漏洞报告人员可在表单中填写相关漏洞详情。GitHub 指出,“对公开仓库具有管理权限的任何人员均可启用并禁用非公开的漏洞报告功能”。漏洞报告提交后,仓库维护人员会收到报告通知并可选择接受或拒绝该报告,或者选择询问更多相关问题。
GitHub 指出,这项新能力的好处包括:以非公开方式讨论漏洞详情、直接在平台上收到所讨论和修复的漏洞报告、报告人员发起的公告报告以及风险遭公开的可能性更低。一旦启用该能力,研究人员可点击仓库的“公告 (Advisories)”页面中的“报告漏洞”按钮,提交漏洞报告。
GitHub 在GitHub Universe 2022全球开发者大会上推出了该非公开漏洞报告能力,同时还宣布CodeQL 对Ruby的支持、为GitHub 企业用户的安全风险和覆盖视图新功能以及资助开源开发人员。
通过新的GitHub Accelerator 计划,GitHub 将为维护开源仓库的20名开发人员提供2万美元的奖励金,同时退出1000万美元的 M12 GitHub Fund,支持未来的开源企业。
谷歌开源Allstar 项目,保护GitHub 仓库安全
GitHub 发布 Octoverse 开源软件安全趋势报告(超详)
Repo Jacking:依赖关系仓库劫持漏洞,影响谷歌GitHub等7万多个开源项目的供应链
GitHub 在热门 Node.js changelog 开源库Standard Version中发现 RCE 漏洞
https://www.securityweek.com/github-introduces-private-vulnerability-reporting-public-repositories
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。